Каковы возможные проблемы безопасности, когда TLD не защищен с помощью DNSSEC, даже если это субдомен?
Мы работаем над стабильной сетью с запущенным сервером BIND9 (а также со многими другими службами). Я учусь и пытается реорганизовать старые файлы конфигурации в соответствии с сегодняшним днем (много мертвых машин, неиспользуемые имена, обратное отображение и т. д.).
А пока я хотел бы следовать передовым методам и защитить DNS с помощью DNSSEC. Проверяя конфигурацию, я наткнулся на тот факт, что используемый нами TLD не защищен с помощью DNSSEC.
Мой вопрос: Есть ли смысл (я уверен, что это так) в защите нашего DNS с помощью DNSSEC, если наверху (в супер-доменах) никто этого не делает?
Наша зона / доменное пространство находится под нашим университетский домен, непосредственно под ve. космос (Венесуэла TLD). То есть что-то вроде example.university.ve. Ни ve , ни DNS нашего университета не защищены.
Если мы все равно должны защитить наш субдомен, мне все равно хотелось бы знать, какие проблемы могут вызвать небезопасные TLD, если появится злоумышленник.
PS: Я использовал такие инструменты, как http://dnsviz.net/ и https://dnssec-debugger.verisignlabs.com/ , чтобы проверить конфигурацию DNSSEC.
Безопасность DNSSEC обеспечивается за счет наличия криптографически проверенной цепочки делегирования некоторых заданных данных (например, набора записей A) известному и надежному общему ключу (известному как «якорь доверия» ). Сегодня для DNSSEC обычно используется якорь доверия ключ корневой зоны . Если ваша родительская зона не подписана, цепочка от вашей зоны до корневой зоны нарушена, и гарантия безопасности DNSSEC полностью не работает. Не имеет значения, подписываете ли вы свою зону, потому что ни у кого больше нет причин доверять ключу, которым вы ее подписали. Так же, как вы можете создать ключ и подписать им зону, злоумышленник может создать ключ и подписать им ваши (предположительно слегка измененные) данные. Без подписанной цепочки к якорю доверия третья сторона не имеет возможности узнать, доверять ли она вашему ключу или ключу злоумышленника.
Теперь, если вы хотите, чтобы некоторые другие люди могли доверять вашей подписи, вы может дать им ключ, который они могут использовать в качестве якоря доверия для вашего домена. Это называется «проверкой со стороны», и с тех пор, как корневая зона была подписана, мало использовалась, но стандарты и реализации все еще существуют. Если вам это интересно, посмотрите RFC 5074 .
Но в целом, если ваша родительская зона не подписана, нет смысла подписывать свою.
Ваша цель (включение DNSSEC) достойна похвалы, но
- требуется много работы для правильного выполнения DNSSEC; даже больше, потому что это не единичный выстрел, вам нужно поддерживать его (вращать ключи и т. д.) и отслеживать его
- , так как вы пишете, начиная со многими другими проблемами, я бы посоветовал сначала очистить все и иметь хорошую зону, работающую для некоторых недель / месяцев до начала новых проектов, таких как включение DNSSEC
- , как указано Калле, и, действительно, .VE, похоже, полностью исключен из любой карты, касающейся DNSSEC, без DNSSEC на всех уровнях (и с тех пор вы больше не можете использовать DLV, как я сказал в мой комментарий), вам бесполезно добавлять его в свою зону
Вместо этого вам следует попытаться найти, почему .VE не делает этого: он мог решить не делать этого или решил запустить его, но все еще находится в предварительные этапы. Тогда у вас, конечно же, возникнет такая же проблема с вашим регистратором.
Вы можете использовать для себя и указать им на эти ресурсы, которые должны предоставить обширные данные и документацию: http://www.internetsociety.org/deploy360/ dnssec /
Кстати, на https://stats.labs.apnic.net/dnssec Я вижу, что более 10% распознавателей в Венесуэле действительно проверяют записи DNSSEC. Это может помочь домену верхнего уровня .VE принять решение об активации DNSSEC.