Назад | Перейти на главную страницу

Каковы возможные проблемы безопасности, если TLD не защищен с помощью DNSSEC, даже если защищен субдомен?

Мы работаем в стабильной сети с запущенным сервером BIND9 (а также со многими другими сервисами). Я изучаю и пытаюсь реорганизовать старые файлы конфигурации, чтобы они соответствовали сегодняшнему дню (много мертвых машин, неиспользуемые имена, обратное сопоставление и так далее).

А пока я хотел бы следовать передовым методам и защитить DNS с помощью DNSSEC. Проверяя конфигурацию, я наткнулся на тот факт, что используемый нами TLD не защищен DNSSEC.

Мой вопрос: Есть ли смысл (я уверен, что это так) в защите нашего DNS с помощью DNSSEC, если наверху (в супер-доменах) никто этого не делает?

Наша зона / доменное пространство находится в домене нашего университета, непосредственно под ve. космос (Венесуэла TLD). То есть что-то вроде example.university.ve. Ни то, ни другое ve или DNS нашего университета защищены.

Если мы все равно должны защитить наш поддомен, я все равно хотел бы знать, какие проблемы могут вызвать небезопасные TLD, если появится злоумышленник.

PS: Я использовал такие инструменты, как http://dnsviz.net/ и https://dnssec-debugger.verisignlabs.com/ для проверки DNSSEC confs.

Безопасность DNSSEC обеспечивается за счет наличия криптографически проверенной цепочки делегирования от некоторых заданных данных (например, набора A-записей) известному и надежному открытому ключу (известному как «якорь доверия»). Сегодня для DNSSEC обычно используется якорь доверия. ключ корневой зоны. Если ваша родительская зона не подписана, цепочка от вашей зоны до корневой зоны нарушается, и гарантия безопасности DNSSEC полностью перестает работать. Не имеет значения, подписываете ли вы свою зону, потому что ни у кого больше нет причин доверять ключу, которым вы ее подписали. Так же, как вы можете создать ключ и подписать им зону, злоумышленник может создать ключ и подписать им ваши (предположительно слегка измененные) данные. Без подписанной цепочки якоря доверия третья сторона не имеет возможности узнать, следует ли доверять вашему ключу или ключу злоумышленника.

Теперь, если вы хотите, чтобы некоторые другие люди могли доверять вашей подписи, вы можете дать им ключ, который они могут использовать в качестве якоря доверия для вашего домена. Это называется «проверкой со стороны», и с тех пор, как корневая зона была подписана, мало использовалась, но стандарты и реализации все еще существуют. Если вам это будет интересно, посмотрите RFC 5074.

Но в целом, если ваша родительская зона не подписана, вам нет смысла подписывать свою.

Ваша цель (включения DNSSEC) похвальна, но

  • Чтобы правильно выполнить DNSSEC, требуется много работы; даже больше, потому что это не единичный выстрел, вам нужно поддерживать его (вращать клавиши и т. д.) и контролировать его
  • поскольку вы пишете, начиная со многих других проблем, я бы посоветовал сначала очистить все и иметь хорошую зону, работающую в течение нескольких недель / месяцев, прежде чем начинать новые проекты, например, включение DNSSEC
  • как заявлено Калле, и действительно .VE кажется полностью вне любой карты, касающейся DNSSEC, без DNSSEC на всех уровнях (и поскольку теперь вы больше не можете использовать DLV, как я сказал в своем комментарии), вам не стоит добавлять его в свой зона

Вместо этого вам следует попытаться выяснить, почему .VE этого не делает: он мог решить не делать этого или начать, но все еще находится на предварительных этапах. Тогда у вас, конечно же, возникнет такая же проблема с вашим регистратором.

Вы можете использовать их для себя и указать на эти ресурсы, которые должны предоставить достаточно данных и документации: http://www.internetsociety.org/deploy360/dnssec/

Кстати, на https://stats.labs.apnic.net/dnssec Я вижу, что более 10% преобразователей в Венесуэле действительно проверяют записи DNSSEC. Это может помочь домену верхнего уровня .VE принять решение об активации DNSSEC.