Attacchi DNSSEC MITM

Cosa rende DNSSEC immune da un attacco MITM?

Perché non posso firmare un codice chiave per esempio.com e get questo ad un server o ad un client di risoluzione prima di poterlo get dalla fonte reale?

2 Solutions collect form web for “Attacchi DNSSEC MITM”

MITM non è imansible, ma richiede solo molto più sforzo. A causa del process di verifica dell'integrità Keith e Nik hanno sottolineato, devi deviare non solo il dominio example.com, ma anche .com e. (una volta che viene firmato). Ciò significa che la semplice avvelenamento della cache non functionrà più, devi subire completamente l'integer stream del resolver di bersaglio.

Funziona come SSL in molti modi. Il dominio principale dispone di record di delegazione-firma che vengono utilizzati per verificare che il resolver di dominio figlio (.com in questo caso) sia veramente il risolutore corretto. Questo ripete per each dominio figlio finché non si arriva a un nome host. Il process di verifica effettivo funziona in senso inverso, in esso sale l'tree fino a raggiungere un livello non firmato e verifica da lì. Gli attaccanti DNS dovranno falsificare l'integer tree resolver fino alla radice firmata (sia quella .com o.) Per avere successo. Questo è il motivo per cui la firma di root della DNS è un grosso problema.

Un sacco di come DNSSEC migliora la sicurezza è rendendo molto più difficile alimentare i dati difettosi nelle cache dei resolver e migliorare la resistenza a giocare i giochi con il process di transactions DNS tra client e legittimi resolver. Un server DNS completamente compromesso restituirà ancora i dati difettosi anche se utilizza DNSSEC e un proxy in linea che riscrive le richieste DNS sul filo dovrà falsificare each singola richiesta DNS non solo quelle previste, ma questo è un problema più difficile da risolvere in generale; così come più difficile get in loco in primo luogo.

Questo articolo lo spiega un po ' . Un breve snippit: Che cosa è DNSSEC?

  • DNSSEC è uno standard Internet proposto che modifica i record di risorse DNS ei protocolli per fornire la sicurezza per le transactions di query e di risposta effettuate tra resolver di nomi di dominio e nomi server. In particolare, la sicurezza DNSSEC fornisce include:

  • Verifica dell'integrità: un risolutore DNS può determinare che le informazioni ricevute da un server di nomi non siano state manomesse in transizione. L'authentication di origine: un risolutore DNS può determinare che le informazioni ricevute hanno origine da un server di dominio autorevole

  • Denializzazione autenticata dell'esistenza: un resolver DNS può verificare che una particolare query non sia risolvibile perché non esiste alcun record DNS sul server nameserver autorevole

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.