web-dev-qa-db-ja.com

DNSSECは署名の除去に影響されませんか?

私の意見では、DNS応答を偽造して、リクエストのDS/RRSIG/...部分を含まないようにして、解決されたドメインのDNSSEC検証をバイパスできるようにする必要があります。

DNSSECシステムはこの種の攻撃の影響を受けませんか?
Unboundはローカルに保存されたDLVおよびROOTアンカーファイルと何か違いがありますか?

5
Marek Sebera

はい、DNSSECはこの種の攻撃の影響を受けません。アンカー(通常はルート、場合によってはDLV)から始めて、すべての委任は明示的に安全である(DSが存在することを委任に設定):

powerdns.com.       172800  IN  NS  powerdnssec1.ds9a.nl.
powerdns.com.       172800  IN  NS  powerdnssec2.ds9a.nl.
powerdns.com.       86400   IN  DS  44030 8 3 7DD75AE1565051F9563CF8DF976AC99CDCA51E3463019C81BD2BB083 82F3854E
powerdns.com.       86400   IN  DS  44030 8 2 D4C3D5552B8679FAEEBC317E5F048B614B2E5F607DC57F1553182D49 AB2179F7
powerdns.com.       86400   IN  DS  44030 8 1 B763646757DF621DD1204AD3BFA0675B49BE3279

または明示的に安全でない(NSEC [3]ビットマップはDS)がないことを証明します):

gov-1l.us.      7200    IN  NS  HNS1.BEYONDHOSTING.NET.
gov-1l.us.      7200    IN  NS  HNS2.BEYONDHOSTING.NET.
gov-1l.us.      86400   IN  NSEC    GOV-ABUSE.us. NS RRSIG NSEC

または暗黙的に安全でない(NSEC3オプトアウト):

stackexchange.com.  172800  IN  NS  brad.ns.cloudflare.com.
stackexchange.com.  172800  IN  NS  roxy.ns.cloudflare.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0QFMDQRCSRU0651QLVA1JQB21IF7UR NS SOA RRSIG DNSKEY NSEC3PARAM
4OTDAP6T1E8VS8BHMCK8CDHSGE3GCOBM.com. 86400 IN NSEC3 1 1 0 - 4OTJJUP7OGM6C149HPOE7O9M1L9LS1OP NS DS RRSIG

stackexchange.comハッシュ4otjehvpu9q5tm1d5v0ec302rcbll9umは2番目の拒否によってカバーされるため、安全な委任はありません)。

これらすべてのケースで、安全な委任がある場合、問題の名前のNSEC [3]レコードはDSの存在を証明します。したがって、署名が削除された場合、検証クライアントはこれを検出できます。

詳細については、 RFC7129:DNSでの認証済みの拒否 および RFC4035(DNSセキュリティ拡張機能のプロトコル変更)のセクション5.2(紹介の認証) を強くお勧めします。

6
Habbie