web-dev-qa-db-ja.com

DNSsecが防止することを目的としたハッキン​​グのいくつかは何ですか

DNSsecの全体的な目的は、DNSレコードのなりすましを防ぐことであることを私は知っています。しかし、DNSsecが積極的に防止する、使用されている実際のプロセス/ルーチンにはどのようなものがありますか?

2
nix

DNS関連の脅威の概要は、 RFC38 に記載されています。基本的に、DNSSECは、接続しているサーバーが本当に正当であることを確認するための1つの方法です。ただし、これはセキュリティの1つの層にすぎず、それ自体では満足のいくものではありません。トラフィックを別の場所に再ルーティングしたり、暗号化されていないパケットを解釈したりすることを妨げません。

最近のDNSの主な欠点は、両端でサポートする必要があることです。クライアント側にも実装されていない場合、DNSの安全性は高まりません。たとえば、WebブラウザはCZ.NICの DNSSEC/TLSA Validator のようなサードパーティのバリデータがないとDNSSECをチェックしません。

SSLはDNSSECよりもはるかに多くの問題を解決するため、DNSSECはSSL証明書の陰に少し隠れています。 SSL証明書で解決できない問題の1つは、不正な認証局または証明書の取得中のIDの不適切な確認です。どちらの場合も、有効なチェーン証明書が間違ったエンティティに発行される可能性があります。 これはあなたが探していた一例かもしれません。

したがって、DNSSECとSSLを組み合わせると、証明書の偽造が困難になります。 DNSSEC署名付きゾーンに [〜#〜] tlsa [〜#〜] レコードがある場合、証明書は2つの独立したチェーンで承認される必要があります。不正なパーティが両方にアクセスできる可能性は低くなります。両方を実装し、クライアントにそれらを要求させる場合、DNSSECを便利な方法で使用しています。

1
Esa Jokinen