¿Hay un equivalente de HSTS para DNSSec?

7

¿Hay alguna forma de establecer una política de DNSSec-siempre similar a la forma en que HSTS le ordena a los navegadores web que usen siempre HTTPS?

Esto mitigaría un ataque DNSSec-strip (similar a SSLStrip)

Tampoco estoy claro si esto se aplicaría a IPSec, donde la seguridad es obligatoria, pero no estoy seguro de si esto requiere DNSSec como requisito previo

    
pregunta random65537 27.03.2015 - 20:12
fuente

2 respuestas

2

No, no hay un equivalente de HSTS directo para DNSSEC. Desafortunadamente, la mayoría de los clientes no admiten DNSSEC y, por lo tanto, no les importa el registro RRSIG de su servidor. Sin embargo, los clientes que sí admiten DNSSEC siempre validarán los registros de su servidor (suponiendo que tenga un registro de DS válido para la configuración de su dominio con su registrador). Por lo tanto, no hay necesidad de un equivalente de HSTS para DNSSEC, ya que los clientes de DNSSEC nunca validarán los dominios.

    
respondido por el ConnorJC 12.08.2016 - 03:39
fuente
0

Es posible que la siguiente solución no se escale bien, pero:

  1. Configure BIND o un servidor de resolución de DNS similar en el host que desea proteger
  2. Configúrelo para validar DNSSEC (puede tomar un máximo de 10 minutos)
  3. Configure un servidor de seguridad de software para que solo su servidor DNS pueda consultar los servidores DNS ascendentes
  4. Opcionalmente, use un complemento del navegador que pueda mostrar el estado DNSSEC

Puede cambiar la siguiente arquitectura a una solución empresarial, donde configura el servidor DNS en su red, y en el firewall perimetral bloquea las solicitudes de DNS de las direcciones IP que no es su servidor DNS. Y suponga que su red es confiable.

    
respondido por el user2716262 17.08.2015 - 22:31
fuente

Lea otras preguntas en las etiquetas