Seguridad de DNSSEC sin NSEC

Navega tus respuestas
4

DNSSEC utiliza registros NSEC (o NSEC3) para indicar que el nombre de dominio solicitado no existe. NSEC ha sido criticado porque permite la enumeración de zonas.

¿Qué saltos, si dnssec se implementa sin registros nsec, es decir, qué pasa si no hay autenticación de dominios inexistentes? (Si existe el dominio, la respuesta se autentica, si el dominio no existe, la respuesta no está autenticada)

Según tengo entendido, DANE utiliza NSEC para protegerse contra MITM, pero no entiende exactamente cómo. ¿El atacante no soltaría o corrompería las respuestas NSEC autenticadas?

Podría ser que no haya forma de saber si se suponía que la respuesta DNS debía ser autenticada por DNSSEC o si no (implementada como propuesta) NSEC, posteriormente fue modificada por el atacante a una respuesta DNS no autenticada que apunta al host controlado por el atacante.

¿Lo estoy haciendo bien? ¿Hay otros problemas?

    
pregunta yyy 16.11.2016 - 11:15
fuente

1 respuesta

4

Si no autenticas las respuestas NXDOMAIN, entonces cualquier ataque donde vilain pueda enviar a la víctima una respuesta NXDOMAIN antes / en lugar de la respuesta correcta, será aceptado por el resolvedor de la víctima y, por lo tanto, el atacante puede hacer cualquier dominio. desaparece (en la vista de la víctima) sin que la víctima pueda detectar este ataque. De ahí NSEC, NSEC3 o NSEC5.

La eliminación de las respuestas de NSEC sería vista por el solucionador, volvería a intentar la consulta y luego se liberaría diciendo "error de red", por lo que si se detecta un ataque, se produce un ataque. Lo mismo para corromper los registros NSEC / NSEC3 válidos, ya que están firmados con el registro RRSIG adjunto, la víctima detectará un cambio en ellos.

Y la víctima sabe que hay una zona habilitada para DNSSEC al ver el registro de DS en la zona principal, necesario para seguir la cadena de confianza.

    
respondido por el Patrick Mevzek 08.08.2017 - 17:56
fuente

Lea otras preguntas en las etiquetas

¿Por qué los robots telnet no están terminando el protocolo de enlace de tres vías? ¿Qué tan viable es realmente la intercepción de MITM del correo electrónico?