¿Tiene DNSSec algún beneficio si se usa con IPv6 habilitado para IPSec?

8

No estoy seguro de si los RFC admiten una implementación de DNS solo para IPSec, pero si lo hace, ¿qué significa eso para DNSSec?

¿Es DNSSec una tecnología solo para IPv4?

    
pregunta random65537 22.11.2010 - 19:09
fuente

2 respuestas

5

DNSSEC proporciona algo bastante diferente a IPSec, y cualquiera o ambos pueden satisfacer sus necesidades. IPSec puede cifrar paquetes y firmarlos, proporcionando evidencia de que provienen de algo en lo que usted confía, SI TIENE una PKI (Infraestructura de clave pública) en la que puede confiar. Pero ese "SI" es una tarea difícil, especialmente dada la presencia en estos días en las tiendas de certificados predeterminados "confiables" más comunes de certificados raíz controlados por gobiernos extranjeros en los que ciertamente no confiaría.

Si solo desea una VPN privada, utilizando solo sus propios certificados y redes y sus propios servidores DNS, IPSec puede proporcionar lo que desea. Pero si desea averiguar desde la red pública dónde enviar sus paquetes en primer lugar, es decir, a través de una asignación segura de nombres de dominio a direcciones IP, para eso es DNSSEC.

También tenga en cuenta que vendrá en un futuro no muy lejano (esperamos) el grupo de trabajo de Keys In DNS (kidns) casi formado del Grupo de trabajo de ingeniería de Internet, que ayudará a integrar estos y otros protocolos de seguridad de una manera que supera la actual cantidad de "Autoridades de Certificación": enlace

Actualización : la propuesta del grupo de trabajo de kidns se adoptó con el nombre DANE: Autenticación basada en DNS de entidades con nombre . Escribió RFC6698 que se implementó en algunas herramientas y bibliotecas y extensiones de navegador, pero no se convirtió en una característica general del navegador.

Tecnologías alternativas como fijación de certificados (secse) potencialmente ayudado por HTTP Strict Transport Security han ayudado con los problemas subyacentes.

    
respondido por el nealmcb 23.11.2010 - 07:24
fuente
1

La Sección DNS de IPv6 La página de Wikipedia no tiene nada sobre la defensa contra las respuestas de DNS falsas, por lo que parece que DNSSec sigue siendo necesario.

    
respondido por el Zian Choy 23.11.2010 - 07:10
fuente

Lea otras preguntas en las etiquetas