Domain-Name-System

即使子域受 DNSSEC 保護,TLD 可能存在哪些安全問題?

  • April 11, 2017

我們正在建立一個執行 BIND9 伺服器(以及許多其他服務)的穩定網路。我正在學習並嘗試重新組織舊的配置文件以符合當今的要求(許多當機、未使用的名稱、反向映射等)。

同時,我很樂意遵循最佳實踐並使用 DNSSEC 保護 DNS。在檢查配置時,我偶然發現我們使用的 TLD 不受 DNSSEC 保護。

我的問題:如果樓上(在超級域中)沒有人這樣做,那麼使用 DNSSEC 保護我們的 DNS 是否有任何意義(我敢打賭)?

我們的區域/域空間在我們的大學域之下,直接在ve.空間之下(委內瑞拉 TLD)。也就是說,諸如example.university.ve.既不ve或我們大學的 DNS 之類的東西都是安全的。

如果我們無論如何都應該保護我們的子域,我仍然想知道如果任何攻擊者出現,不安全的 TLD 會導致什麼問題。

PS:我使用http://dnsviz.net/>和<https://dnssec-debugger.verisignlabs.com/等工具來檢查 DNSSEC 配置文件。

DNSSEC 的安全性來自於具有從某些給定數據(如一組 A 記錄)到已知且受信任的公鑰(稱為“信任錨”)的經過加密驗證的委託鏈。對於今天的 DNSSEC,通常使用的信任錨是根區域密鑰。如果您的父區域未簽名,則從您的區域到根區域的鏈中斷,DNSSEC 的安全保證完全失效。您是否簽署您的區域並不重要,因為沒有其他人有理由信任您用來簽署它的密鑰。就像您可以創建密鑰並用它簽署區域一樣,壞人也可以創建密鑰並用它簽署您的(可能稍微修改過的)數據。如果沒有到信任錨的簽名鏈,第三方就無法知道他們應該信任你的密鑰還是壞人的密鑰。

現在,如果您希望某些特定的其他人能夠信任您的簽名,您可以給他們一個密鑰,他們可以將其用作您域的信任錨。這被稱為“備份驗證”,自根區域簽署以來並沒有太多使用,但標準和實現仍然存在。如果您對此感興趣,請查看RFC 5074

但一般來說,如果您的父區域沒有簽名,那麼您簽署您的沒有意義。

引用自:https://serverfault.com/questions/843734