¿Contra qué tipos de ataques y abusos protege DNSSEC?

4

He leído muchos artículos diferentes sobre qué es DNSSEC es y que proporciona autenticación para DNS. Lo que desafortunadamente no he visto es una buena descripción de los tipos de ataques y abusos que DNSSEC puede prevenir / mitigar.

Con la mayor parte de los DNS de mis sitios personales alojados por registradores, ¿qué razones convincentes deberían motivarme a crear una máquina virtual para alojar mi propio BIND y DNSSEC?

    
pregunta Naftuli Kay 11.05.2015 - 01:58
fuente

3 respuestas

1

Intoxicación de caché mediante la implementación de firmas criptográficas para transferencias de zona. Si desea cifrar las cargas útiles, utilice IPSec

    
respondido por el jas- 11.05.2015 - 04:18
fuente
1

Incluso con tu propio servidor de nombres, estarías tirando recursivamente las entradas de dns de otra parte o haciendo tus propias zonas mitm, por lo que dnssec está ahí. En una nota relacionada, al observar el modelo osi, también puede depender completamente de los certificados ssl en el navegador para asegurarse de que no sea redirigido a un sitio de phishing de algún tipo, como una especie de garantía L7 de su punto final. Pero como parte de la seguridad en capas, querría que todos los protocolos intermedios de soporte sean autorreguladores, de ahí todos los complementos * sec a las capas.

    
respondido por el munchkin 11.05.2015 - 06:54
fuente
1
  

qué razones convincentes deberían motivarme a crear una VM para alojar mi propio BIND y DNSSEC

Los beneficios de seguridad, por supuesto! Si le preocupan los ataques como el envenenamiento de la memoria caché de DNS o los ataques de personas en el medio (o simplemente paranoico como yo), DNSSEC es para usted. Puede comparar el uso de DNSSEC para su DNS con el uso de HTTPS para su servidor web. Sin embargo, señalaré que podría pedirle a su registrador que admita DNSSEC sin necesidad de que use sus propios servidores de nombres (aunque usar sus propios servidores de nombres hasta que estén disponibles es probablemente una buena idea).

    
respondido por el ConnorJC 12.08.2016 - 04:49
fuente

Lea otras preguntas en las etiquetas