Implicaciones de seguridad del cliente no validadas para DNSSEC

9

Comprendí que Windows 7 y los clientes más nuevos de Windows son compatibles con DNSSEC, pero que no están validando. Eso significa que no están realizando ninguna validación de DNSSEC, pero que pueden requerir que el servidor DNS realice la validación de DNSSEC.

Cuando el cliente recibe la respuesta del DNS, como entendí, solo mira el indicador AD (Datos autenticados) para ver si el servidor realizó la validación de DNSSEC. Pero, ¿no sería posible que un atacante que se encuentra entre el cliente y el servidor DNS simplemente envíe respuestas de DNS falsas al cliente con el indicador AD establecido en 1? ¿Confiaría ciegamente el cliente sin validación de DNSSEC esas respuestas?

    
pregunta pineappleman 14.07.2015 - 13:02
fuente

1 respuesta

3

Sí, y sí.

DNSSEC es el primer intento exitoso de agregar un estándar de seguridad al protocolo de infraestructura de DNS ligero. El DNS debe permanecer ligero para que la infraestructura de Internet funcione de manera eficiente y sirva rápidamente las solicitudes a los usuarios. DNSSEC es compatible con versiones anteriores y es lo suficientemente ligero como para que DNS sea eficiente.

DNSSEC puede ser realizado por los servidores DNS sin el conocimiento o participación de las computadoras cliente. El término que reconoce a DNSSEC es un poco redundante, ya que DNSSEC es compatible con versiones anteriores. Un servidor DNS que realice la validación de DNSSEC entregará respuestas confiables a las consultas de DNS. Específicamente, el estándar DNSSEC significa que en el momento en que el servidor DNS envía la respuesta, el servidor DNS debe tener evidencia criptográfica de que la respuesta es correcta y confiable, de lo contrario, el servidor DNS no envía nada.

El principal problema que nos ocupa es que DNSSEC no está completamente implementado en los servidores DNS. Algunos servidores lo implementan, otros no. Si un cliente está configurado para requerir que los servidores DNS realicen la validación de DNSSEC, entonces el indicador de AD que menciona es redundante, especialmente porque un servidor de DNSSEC no debe enviar información no confiable a los clientes. Las computadoras Windows se pueden configurar para que solo se basen en respuestas de DNS autenticadas, y esto es lo que quiere decir Microsoft cuando hablan de "computadoras que no tienen validación de DNSSEC". Consulte su discusión , para obtener más información.

Como puede observar, como el servidor DNS está realizando la autenticación y el cliente no, es posible que se inserten ataques entre el servidor y el cliente. Dichos ataques podrían incluir el envenenamiento de la caché de DNS local del cliente y la suplantación de las respuestas del servidor. Desde un punto de vista de seguridad, uno desearía que el cliente validara la respuesta del DNS. Sin embargo, es probable que haya obstáculos de implementación y eficiencia para crear dicho sistema.

    
respondido por el Brent Kirkpatrick 15.04.2016 - 16:00
fuente

Lea otras preguntas en las etiquetas