DNSSEC: ¿el propietario del dominio posee una clave?

0

El propósito de DNSSEC es prevenir algunos ataques como el envenenamiento de caché para que un cliente pueda estar seguro de que la respuesta que recibe de un servidor DNS recursivo es correcta (la IP es la IP correcta). El DNS raíz contiene un par de claves que firma las claves del nivel inferior (por ejemplo, .com), y así sucesivamente (.com firma las claves para el seridor DNS de example.com).

Cuando el cliente consulta el DNS recursivo (el último DNS en la jerarquía de DNS), obtiene una respuesta firmada. Mi pregunta: ¿quién posee la clave de firma que recibe el cliente? ¿Es el propietario del dominio (example.com)? ¿Y quién le proporcionó al propietario del dominio esta clave? ¿Es un par de claves autogenerado que está firmado por el servidor DNS que se encuentra sobre él (.com)?

Por favor, aclárame la propiedad de las claves y quién las genera.

    
pregunta user9371654 16.05.2018 - 14:11
fuente

1 respuesta

0

En cada nivel, en cada zona, los registros están firmados por una (o varias) claves, es decir (la parte pública) en la zona como un registro DNSKEY.

También en la zona principal, un registro DS (firmado en la zona como cualquier otro registro en esa zona) "apunta" al DNSKEY que se encuentra a continuación por el hecho de ser un hash y el nombre de dominio.

Esto se repite en cada nivel. Entonces, si comienza desde la raíz con una clave totalmente confiable (un ancla, que debe existir en cada servidor de nombres recursivo), encontrará un registro DS firmado para alguna clave dentro de la zona .com donde encontrará su registro DNSKEY y todos los demás registros allí. están firmados por esta clave, incluido el registro DS de una clave para example.com en la zona en la que encontrará un registro DNSKEY que firma todos los demás registros, generando registros RRSIG.

(Por supuesto, esto se simplifica, ya que a menudo tiene claves de firma de zona y claves de firma de clave separadas, pero esto no cambia la idea general que se muestra más arriba).

Las claves son generadas automáticamente por el servidor de nombres o algunas herramientas externas con cierta frecuencia (generalmente se cuentan en meses o pocos años). Absolutamente no deben ser manejados / generados por la zona principal, cada zona es responsable de sus claves, cuánto tiene de ellas, con qué frecuencia las cambia, dónde se almacenan (como en un HSM fuera de línea para los KSK o simplemente en el sistema de archivos). Cada zona solo proporciona un registro DS (uno por clave, específicamente uno por KSK, incluidos aquellos que no corresponden a registros DNSKEY publicados, como una copia de seguridad), a su zona principal, para construir la cadena de confianza.

Por lo tanto, puede ser que el propietario del dominio o la firma de DNSSEC (y, por lo tanto, el servicio de generación de claves) se pueda subcontratar: algunos proveedores le darán un servidor de nombres que actúa como un obstáculo en el cable, servirá una zona firmada desde su contenido al ser esclavo de sus propios servidores de nombres que sirven una zona sin firma y administran las claves y las firmas en sí mismas.

Las firmas en example.com son propiedad de una manera (depende de lo que usted quiere decir con propiedad) por los servidores de nombres autorizados en esta zona. Son precalculados o calculados cuando llegan las solicitudes (ambos modelos existen). Las firmas tienen una fecha de inicio y una fecha de finalización.

Use una herramienta en línea como enlace para mostrar gráficamente la cadena de confianza de cualquier dominio. Pase el mouse sobre varias partes de la imagen, tiene superposiciones con mucha información útil.

También puedes usar dig +trace +dnssec localmente.

    
respondido por el Patrick Mevzek 17.05.2018 - 05:51
fuente

Lea otras preguntas en las etiquetas