¿Puede ocurrir la enumeración de dominios NSEC para zonas con registros comodín?

Question

¿Puede ocurrir la enumeración de dominios NSEC para zonas con registros comodín?

#1 de bonsaiviking (3 votos)
#2 de DoubleD (0 votos)

6

En DNSSEC, los registros NSEC se utilizan para proporcionar una prueba de inexistencia. El problema es que estos registros proporcionan punteros a los nombres de dominio existentes (el dominio conocido más cercano en cualquier dirección) construyendo una cadena que se puede "recorrer" para revelar eventualmente todos los nombres de dominio en una zona determinada a través de más consultas fallidas.

El método tal como lo entiendo se basa en la elaboración de consultas para dominios que no tienen un registro correspondiente. ¿Las zonas con registros DNS comodín todavía son susceptibles a este ataque?

dns dnssec

pregunta chao-mu 03.07.2012 - 15:47

fuente

2 respuestas

Lea otras preguntas en las etiquetas dns dnssec

¿Cómo hacer que el acceso a Internet sea solo para sandbox? Alcance de PCI-DSS con tokenización

score 3 · Answer 1

Aún deberían ser vulnerables, ya que el registro de comodín está firmado como literalmente "*". Los detalles de cómo se manejan los resultados de comodines están cubiertos en RFC 2535 (DNSSEC), RFC 3845 (formato RDATA de NSEC), y RFC 5155 (respuestas con hash NSEC3).

Esta simple descripción me ayudó a comprender cómo se puede probar una respuesta de comodín: " El servidor de nombres que recibe puede derivar de esto que el registro 'www.example.com' se sintetizó a partir de '* .example.com', y verificar la firma correspondiente ".

Es posible que algunas herramientas y scripts diseñados para llevar a cabo NSEC-walking falle en el caso de respuestas con comodines, pero esto no probaría que el ataque todavía no es posible.

score 0 · Answer 2

Si le preocupa que los atacantes caminen por su zona, debe configurarlo para que use NSEC3 en lugar de NSEC para el rechazo. Esto funciona con registros comodín, que no tienen relación con la zona que camina en ninguno de los casos.

NSEC3 usa hashes de los nombres para afirmar la inexistencia de un registro. Un atacante no tiene forma de obtener los nombres originales de sus hashes, por lo que no recibe pistas que indiquen nombres vecinos en la zona.

Como es el caso con NSEC, un atacante todavía puede decir que la respuesta se debe a la presencia de un registro comodín. Sin embargo, la zona de caminar es posible con NSEC (e imposible con NSEC3) independientemente de si la zona incluye registros comodín.

NSEC3 es compatible con Windows DNS en Server 2012 (y superior) y BIND 9+. Las versiones anteriores solo admitían DNSSEC con NSEC.