¿Puede forzar a su PC o dispositivo a usar solo los resultados de búsqueda verificados por DNSSec?

1

Bien, admitiré algo de primera: realmente no entiendo algunos de los aspectos prácticos de cómo funcionan las protecciones de DNSSec (incluso después de leer recursos como this .)

Bueno, ciertamente entiendo por qué anti- spoofing protecciones para Las búsquedas de resolución de nombres a direcciones de DNS son muy necesario . E incluso entiendo (aproximadamente, a un nivel básico) cómo funcionan los mecanismos criptográficos de la cadena de confianza trabajo , desde la raíz del DNS los servidores y los dominios de nivel superior hasta el ISP de nivel más bajo y los servidores de nombres internos / corporativos proporcionan una base para el rol de DNSSec de la prueba criptográfica de que un nombre de dominio dado realmente está vinculado a una o más direcciones IP dadas.

Pero mi entendimiento se vuelve confuso cuando el dispositivo de un usuario final realmente aprovecha las capacidades del sistema DNSSec para verificar que el servidor DNS con el que está tratando el cliente dice la verdad cuando dice que cierto nombre de dominio es legítimamente Se supone que debe resolverse a una determinada dirección IP. Eso, por ejemplo, www.example.com realmente lo pretenden las personas que lo poseen para indicar 93.184.216.34, y 93.184.216.34 no es solo un servidor sustituto malintencionado y malintencionado que le dice a mi navegador que vaya a un Página web controlada por el atacante en lugar de la original.

De todos modos, mi pregunta real aquí no es del todo "No entiendo completamente cómo funciona DNSSec a nivel de cliente / servidor DNS. Explique eso". Tengo una preocupación más pragmática: ¿Se puede configurar realmente una PC o dispositivo cliente de usuario final para obligarlo a aceptar & usar solo los resultados de búsqueda de DNS que se verifican criptográficamente bajo DNSSec ? Configurar una PC para usar ciertos servidores DNS específicos es bastante fácil, obviamente; ¿Cómo se configura una PC para usar solo los resultados de búsqueda de DNS que la infraestructura DNSSec verifica como legítimos? O puede ser que incluso se haga; ¿hay algo que me esté perdiendo sobre cómo funciona DNSSec a nivel de cliente / servidor DNS que significa que toda mi pregunta está fuera de la base? ¿O está pasando algo más?

(Nota: Supongo que estoy preguntando con la imagen de un entorno de cliente Windows típico en mi cabeza, pero realmente quiero preguntar en un contexto más general de "¿Hay algún tipo de verificación / comprobación en DNSSec que realmente ocurre a nivel del cliente, o es DNSSec una cosa puramente externa donde se espera que un cliente "solo confíe" en la salida final de algún servidor DNS? "Y este último suena muy parecido a que tendría algunos de los mismos problemas que hacen que el sistema DNS heredado sea problemático.)

    
pregunta mostlyinformed 28.11.2015 - 03:58
fuente

2 respuestas

2
  

¿Se puede configurar realmente una PC o dispositivo cliente de usuario final para obligarlo a aceptar & ¿Utiliza solo los resultados de búsqueda de DNS que se verifican criptográficamente bajo DNSSec?

No creo que sea posible hacerlo directamente. Lo que podría hacer es configurar un servidor DNS que descarte cualquier respuesta que no esté firmada con DNSSec. Luego, podría configurar su red local para que use este servidor DNS. Este servidor DNS podría incluso ejecutarse en el mismo host. No tengo conocimiento de ningún servidor existente que pueda configurarse para hacer esto. Pero no debería ser demasiado difícil escribir un servidor de este tipo para uso personal (es decir, no es necesario escalar mucho).

Pero, dado que la mayoría de los servidores en Internet no utilizan DNSSec, usted se cortará de esta manera de la mayoría de Internet. Agradable para un experimento, pero generalmente no es útil en la práctica.

  

¿O es DNSSec algo puramente externo donde se espera que un cliente "solo confíe" en la salida final de algún servidor DNS? "

Por lo general, DNSSec no está realmente integrado en los sistemas. Eso significa que las aplicaciones en los sistemas Windows, Mac o Linux actuales generalmente no son conscientes de si la dirección que obtuvieron para un host se recuperó usando DNSSec o DNS desprotegido. Incluso si el sistema de resolución del sistema lo supiera, la API actual en las bibliotecas y los lenguajes de programación en su mayoría no expone esta información a la aplicación o no está claro cuánto se puede confiar en esta información de la API. Para obtener información interesante sobre la complejidad del tema, consulte Soporte para DNSSEC en la Biblioteca de GNU C .

    
respondido por el Steffen Ullrich 28.11.2015 - 08:10
fuente
0
  

¿Se puede configurar realmente una PC o dispositivo cliente de usuario final para obligarlo a aceptar & ¿Utiliza solo los resultados de búsqueda de DNS que se verifican criptográficamente bajo DNSSec?

¡Sí, puedes! Hay dos maneras diferentes de hacer esto:

Nivel de aplicación

La aplicación puede validar las consultas DNS que realiza. Un ejemplo de esto es la extensión DNSSEC Validator para Chrome / Firefox. Sin embargo, esto solo funciona si la aplicación (o un complemento) lo admite.

Sistema / Nivel de red

Los usuarios y los administradores de red pueden configurar sus sistemas para validar DNSSEC y, por lo tanto, tener validación para todas las consultas, independientemente del origen. La forma más sencilla y actual de implementar esto es configurar un simple resolutor recursivo y enviar todo el tráfico de DNS a través de él. Con suerte, en el futuro, los desarrolladores de sistemas operativos agregarán soporte DNSSEC a los propios sistemas operativos, por lo que esto no es necesario.

    
respondido por el ConnorJC 12.08.2016 - 04:42
fuente

Lea otras preguntas en las etiquetas