DNSSec (Comcast) vs DNSCurve (OpenDNS)

DNSSEC y DNSCurve abordan aspectos completamente diferentes de la seguridad del DNS.

En primer lugar, DNSSEC NO firma sus consultas. Más bien, DNSSEC permite que una zona (como un dominio) sea firmada por su propietario, y permite que un sistema de resolución (por ejemplo, los servidores DNS de Comcast) verifique la firma y, por lo tanto, asegúrese de que los datos de la zona que obtiene son auténticos. Protege al solucionador de recibir datos erróneos, pero no hace nada para evitar que MITM o husmee entre usted y el resolutor.

DNSCurve, por otro lado, encripta las comunicaciones entre los resolutores recursivos y los servidores autorizados y permite que los servidores autorizados firmen sus datos contra la falsificación, pero no hace nada para proteger a un cliente de usuario final de un mal resolutor recursivo. La solución DNSCrypt de OpenDNS se basa en la misma tecnología que DNSCurve, pero protege la última milla entre un resolutor recursivo de terceros de confianza como OpenDNS y el cliente final.

En cuanto a lo que es más seguro, tampoco lo es. Ambos son seguros, sin embargo, la seguridad se aplica en diferentes áreas. En cualquier caso, está eligiendo qué aspecto de la seguridad del DNS es más importante, en lugar de qué herramienta de seguridad es más fuerte.

En cuanto a lo que debe hacer, eso es algo que solo usted puede decidir, pero considere lo siguiente:

1: podría utilizar los resolutores DNSSEC de comcast, y espero que nadie snoops y MITMs la conexión entre sus máquinas y los resolutores de comcast.

2: podría usar los resolutores de OpenDNS y conectarse a ellos usando DNSCurve, y esperar que nadie alimente datos erróneos a esos resolutores, ya que no usan DNSSEC. (Para ser justos, OpenDNS tiene un muy buen historial de prevención de tales ataques).

3: puede ejecutar su propio resolutor, utilizando software de código abierto disponible gratuitamente, como BIND, PowerDNS o Unbound: habilite DNSSEC en dicho resolutor y mantenga las consultas en su red local, o mejor aún, ejecute un resolutor cada maquina (Esta es la mejor opción en mi humilde opinión, ya que aborda las debilidades de las otras dos opciones)

DNSSEC y DNSCurve esencialmente hacen lo mismo. Permiten que un cliente verifique que los registros en una respuesta de DNS son idénticos a lo que el propietario de la zona configuró inicialmente. No son a prueba de balas; Las zonas principales, los registradores y los registros aún pueden hacer lo que quieran con las zonas para las que tienen autorización directa o indirecta. Pero sigue siendo mejor que nada.

Para que esto funcione, las zonas obviamente tienen que estar firmadas.

Las zonas firmadas con DNSCurve son virtualmente inexistentes. El hecho de que agregue cifrado es, en la práctica, completamente inútil; dado el número de zonas firmadas, el tamaño del paquete es suficiente para adivinar cuál es la consulta.

DNSSEC está recibiendo algo de tracción, pero su implementación sigue siendo bastante lenta. Aún así, sigue siendo mucho más implementado que DNSCurve, y las herramientas populares como openssh y los servidores de correo pueden aprovecharlo.

El escenario más seguro es cuando el propio cliente realiza la verificación. O al menos, si confía en su red local, en el enrutador. Ahora que dnsmasq admite la validación de DNSSEC, los firmwares del enrutador también comienzan a admitirlo.

Ahora, al utilizar un sistema de resolución de terceros y no realizar ninguna validación en su propia red, usted:

1) ciegamente confía en lo que te envía la resolución. 2) incluso si la resolución le envía una respuesta correcta, el segmento de red entre la resolución y su cliente sigue siendo vulnerable a la falsificación de DNS.

Si usted es un cliente de Comcast, la resolución de DNS está lo más cerca posible de su enrutador, y su conexión ya depende completamente de Comcast. Si está utilizando otro sistema de resolución de terceros, cada salto entre su enrutador y ese sistema de resolución se puede usar para secuestrar las respuestas.

Por lo tanto, la mejor opción sigue siendo utilizar un sistema local de resolución de validación de DNSSEC como Unbound.

Malware no se preocupa por DNSSEC o DNSCurve. Una vez que su computadora está infectada, la mayoría de los programas maliciosos pueden inyectar directamente lo que quieran en su navegador y cambiar su configuración de DNS si es necesario.

La privacidad es un tema completamente diferente, en el que se comenzó a trabajar (consulte DNS consideraciones de privacidad RFC).

DNSSEC solo intenta brindar seguridad, sin siquiera intentar proporcionar privacidad.

DNSCurve proporciona seguridad y privacidad.

En el punto de una resolución de DNS recursiva (p. ej., Comcast y OpenDNS en su pregunta), la cuestión es si los servidores de nombres autorizados de los nombres de dominio implementan al menos una de estas tecnologías. y por todo el camino recursivo necesario para la resolución. Este punto garantiza que los servidores Comcast / OpenDNS obtendrían resoluciones legítimas de cualquier otro lugar de Internet.

Sin embargo, antes de que sus servidores puedan hacer cualquier resolución en su nombre, debe enviarles su solicitud.

• Si no usa ningún software que sea experto en DNSSEC o DNSCurve, entonces todas las apuestas están desactivadas.

• Con DNSCurve y el cliente DNSCrypt de OpenDNS, todas sus consultas se cifran a través de DNSCurve, y solo OpenDNS puede ver el contenido real y proporcionar una respuesta válida.

• Con DNSSEC, es posible que también tenga que usar algo como local_unbound en FreeBSD. Todavía no estoy completamente seguro de cómo funciona: solo se importó hace un par de semanas, y falta algo de documentación, pero creo que admite el reenvío de tráfico a otros servidores recursivos como el de Comcast (con la palabra clave forward-addr ), donde supuestamente también garantizaría que se lleve a cabo la validación de DNSSEC.

Como tal, su pregunta no es lo suficientemente específica para conocer su objetivo; sin embargo, parece que está usando OpenDNS por una razón, y simplemente cambiar su servidor de nombres a Comcast no ofrecería ningún beneficio con respecto a la seguridad.

Sin embargo, si ya estás usando OpenDNS , entonces deberías considerar aceptar su cliente DNSCrypt.

Instalé Dnssec Trigger que incluye Bind en mi PC. Hay una clave local en su máquina. Me gustaría encontrar un servicio que incluya ambos protocolos DNS, ya que no son exclusivos.

Desde su sitio web.

El desencadenador Dnssec permite que el host final (computadora portátil o de escritorio) use la protección DNSSEC para el tráfico DNS. DNS traduce los nombres de las computadoras en direcciones IP utilizadas para contactarlos.

Busca servidores con capacidad DNSSEC e indica a un validador en localhost que use eso. Si falla, el usuario puede optar por volverse inseguro.

Esto significa que un navegador puede (a menudo) obtener resultados compatibles con DNSSEC. Puede confiar en los resultados de 127.0.0.1 con ADflag. O puede hacer la validación de DNSSEC. Esto puede habilitar DANE (IETF wg).

Uno de los últimos recursos de dnssec-trigger es usar el puerto SSL 443 para DNSSEC. Si eso falla, es poco probable que DANE (https, también el puerto SSL 443) pueda funcionar. Por lo tanto, lógicamente, es muy probable que este servicio proporcione DNSSEC cuando DANE debe tenerlo.