¿DNSSEC todavía tiene el problema de "enumerar todos los nombres en la zona"?

6

Según Wikipedia :

  

DNSSEC introduce la capacidad de una parte hostil para enumerar todos los   Nombres en una zona siguiendo la cadena NSEC. Los RR NSEC afirman que   los nombres no existen en una zona al vincular el nombre existente con el existente   nombre a lo largo de un orden canónico de todos los nombres dentro de una zona. Así,   un atacante puede consultar estos RR NSEC en secuencia para obtener todos los   Nombres en una zona. Aunque esto no es un ataque al DNS en sí mismo,   podría permitir a un atacante mapear hosts de red u otros recursos al   enumerar los contenidos de una zona.

La mayoría de los TLD han adoptado DNSSEC. ¿Todavía existe el problema descrito anteriormente? ¿Cómo se puede verificar (por ejemplo, un comando de Linux)?

    
pregunta lepe 21.07.2015 - 03:43
fuente

1 respuesta

5

Primero, señalaré que la información privada no debe publicarse en el sistema de nombres de dominio público . Sin embargo, para el caso oscuro, esto es realmente necesario. DNSSEC ahora admite NSEC3 para las zonas, lo que impide tipo de ataque (aunque es más costoso en la consulta de DNS, según tengo entendido cómo funciona NSEC3 en comparación con NSEC simple).

Editar: No vi la fecha en esta pregunta, espero que mi respuesta ayude a alguien.

Edit2: tenga en cuenta que como @kasperd señala a continuación, esta configuración aún es vulnerable a un ataque de fuerza bruta sin conexión. Lee los comentarios a continuación para obtener más información.

    
respondido por el ConnorJC 09.06.2016 - 00:24
fuente

Lea otras preguntas en las etiquetas