Quanto sono sicuri i nuovi TLD (.us, .io, ...) e si confrontano con .com? [chiuso]

0

L'introduzione dei nuovi domini di primo livello (TLD) come .music, .books, ecc. aumenterà il numero di persone e organizzazioni che aggiungono e rimuovono voci nei server DNS radice (.) per il proprio TLD.

Dati i TLD "me". e "in.", questo significa che avranno diverse protezioni in atto per creare e gestire sottodomini (myna.me., bitco.in.). Sicuramente i root server hanno un protocollo stabilito per funzionare con i TLD, ma quello che è che la capacità dei TLD di interagire con i root server non è stata falsificata o intercettata da un avversario.

Domanda

Il rischio che mi preoccupa è, che cosa è impedire a un attore malintenzionato di aggiungere o rimuovere host NS? Se un hacker può aggiungere un NS canaglia per un TLD, questo ovviamente darebbe al malintenzionato il controllo completo su tutti i sottodomini, i record DNSSec e molti altri aspetti della sicurezza, incluso SSL.

Esistono altri problemi di sicurezza, come ad esempio il processo di registrazione per il portale web di registrazione del TLD, sono in atto i controlli corretti? Sono stati effettuati controlli?

  • Esistono casi documentati di violazione del DNS a livello di TLD?
  • Cosa riduce questo rischio?
  • Esiste uno standard, un accreditamento o una garanzia su cui posso fare affidamento prima di utilizzare un determinato TLD di secondo livello?
  • C'è qualche terza parte che controlla le radici DNS di .COM / .NET / .ORG (ecc.) e le controlla per le modifiche?

Questo rischio è particolarmente preoccupante poiché sempre più persone si affidano agli abbreviazioni URL per creare URL "carini". In sostanza stanno permettendo a una terza parte, il cui governo potrebbe non consentire protezioni sulla privacy, cause legali o altro supporto che altrimenti ci aspetteremmo, se quel provider DNS venisse violato.

Esempio di TLD diversi con alcuni server dei nomi, come facciamo a sapere che questi server sono corretti?

> com.
Server:  a.root-servers.net
Address:  198.41.0.4

Name:    com
Served by:
- m.gtld-servers.net
          192.55.83.30
          com
- l.gtld-servers.net
          192.41.162.30
          com
- k.gtld-servers.net
          192.52.178.30
          com
- j.gtld-servers.net
          192.48.79.30
          com
- i.gtld-servers.net
          192.43.172.30
          com
- h.gtld-servers.net
          192.54.112.30
          com
- g.gtld-servers.net
          192.42.93.30
          com
- f.gtld-servers.net
          192.35.51.30
          com
- e.gtld-servers.net
          192.12.94.30
          com
- d.gtld-servers.net
          192.31.80.30
          com


> biz.
Server:  a.root-servers.net
Address:  198.41.0.4

Name:    biz
Served by:
- a.gtld.biz
          156.154.124.65
          2001:503:7bbb:ffff:ffff:ffff:ffff:ff7e
          biz
- b.gtld.biz
          156.154.125.65
          biz
- c.gtld.biz
          156.154.127.65
          biz
- e.gtld.biz
          156.154.126.65
          biz
- f.gtld.biz
          209.173.58.66
          2001:500:3682::12
          biz
- k.gtld.biz
          156.154.128.65
          2001:503:e239::3:2
          biz


> me.
Server:  a.root-servers.net
Address:  198.41.0.4

Name:    me
Served by:
- ns2.nic.me
          89.188.44.88
          me
- ns.nic.me
          89.188.44.44
          me
- b2.me.afilias-nst.org
          199.249.127.1
          2001:500:4f::1
          me
- a2.me.afilias-nst.info
          199.249.119.1
          2001:500:47::1
          me
- d0.cctld.afilias-nst.org
          199.254.62.1
          2001:500:28::1
          me
- c0.cctld.afilias-nst.info
          199.254.61.1
          2001:500:27::1
          me
- b0.cctld.afilias-nst.org
          199.254.60.1
          2001:500:26::1
          me
- a0.cctld.afilias-nst.info
          199.254.59.1
          2001:500:25::1
          me


>
    
posta random65537 11.12.2013 - 17:28
fonte

1 risposta

4

La sicurezza del DNS è indipendente dalla particolare gerarchia dei nomi, in quanto gli attacchi tipici relativi al DNS avvengono sul resolver anziché sul server autorevole. Inoltre, il DNS senza DNSSEC non è ritenuto sicuro più di quanto si supponga che telnet sia un protocollo di shell remota sicuro. La sicurezza deve essere stratificata altrove, ad esempio in TLS.

Ma per rispondere alla tua domanda: ciascun registrar e proprietario del TLD è responsabile della propria sicurezza e la reputazione di ciascuno dovrebbe rispecchiare tale. Non esiste un apparato di sicurezza prescritto se non i meccanismi integrati attraverso cui opera il DNS e la regola e il quadro normativo che lo comprende.

    
risposta data 11.12.2013 - 19:13
fonte

Leggi altre domande sui tag