Вопросы Теги

DNSSEC - Что это не покрывает?

ext3 и ниже поддержки до 32 768 файлов на каталог. ext4 поддерживает до 65 536 в фактическом количестве файлов, но позволит Вам иметь больше (это просто не сохранит их в каталоге, который не имеет значения в большинстве пользовательских целей).

Кроме того, способ, которым каталоги хранятся на расширении* файловые системы, по существу как один большой список. В более современных файловых системах (Reiser, XFS, JFS) они хранятся как B-деревья, которые намного более эффективны для больших наборов.

0
задан 29 April 2010 в 17:02
5 ответов

Основные проблемы, которые не решают DNSSEC:

  1. ложные данные вставили в главном сервере - если кто-то взламывает Ваш оператор DNS, они могут в теории вставлять ложные данные, которые будут подписаны с Вашим собственным ключом.

  2. шифрование запросов DNS - содержание запросов и получающихся ответов является все еще открытым текстом на проводе

Бывшая проблема является в настоящее время нерешенной. Последний действительно не рассматривается как реальная проблема безопасности, так как многие люди охотно позволяют третьим лицам (Google, OpenDNS, и т.д.) видеть свои запросы DNS так или иначе.

1
ответ дан 5 December 2019 в 18:54
  • 1
    " Взламывает Ваш DNS operator" или Ваш регистратор или сам реестр, который уже произошел. –  bortzmeyer 3 May 2010 в 10:25

Это зависит в том, что является Вашим определением "безопасности". Если мы используем "триаду ЦРУ" - конфиденциальность, целостность и доступность - DNSSEC только применяются (и был разработан) для второго: целостность.

1
ответ дан 5 December 2019 в 18:54
  • 1
    DNS, сделанный правильно уже, имеет " availability" - DNSSEC doesn' t должен решить это. –  Alnitak 29 April 2010 в 17:51

Этот вопрос действительно должен быть, "Что делает DNSSEC?"

Ответить, что, DNSSEC является способом проверить, что данные Вы возвращаетесь из сервера, законно. Записи подписываются с закрытым ключом, который может затем быть проверен с помощью открытого ключа, опубликованного в официальном наборе документов.

Это не шифрует записи, чтобы помешать людям видеть их (смысл DNS должен распределить ту информацию для всеобщего использования, таким образом, это не беспокойство в подавляющем большинстве случаев так или иначе).

Это также не защищает от DDos-атак, отражательных нападений, нападений усиления, и т.д.

Вы могли бы также обратиться к RFC 3833, Анализу Угрозы Системы доменных имен для получения дополнительной информации.

1
ответ дан 5 December 2019 в 18:54
  • 1
    некоторые угрозы, зарегистрированные в RFC 3833, были обращены более поздним DNSSEC RFCs. § 2.6 и § 2.7 (доказательство несуществования и подстановочных знаков) фиксируются НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТЬЮ, например. –  Alnitak 29 April 2010 в 17:56

Лучший ответ на это должен взглянуть на записи DJB на этом:

http://cr.yp.to/djbdns/forgery.html

LWN имеет некоторые хорошие статьи также:

http://lwn.net/Articles/230050/

И некоторые большие ответы от этого самого сайта:

DNSCurve по сравнению с DNSSEC

-2
ответ дан 5 December 2019 в 18:54
  • 1
    Бумага DJB кажется абсолютно не связанной. –  bortzmeyer 3 May 2010 в 10:27

Можно найти это обсуждение интересным.

-3
ответ дан 5 December 2019 в 18:54

Теги

Похожие вопросы