web-dev-qa-db-ja.com

DNSSECが必要ですか?

Windows Server 2008 R2でのDNSSECの実現について読んだ後、とにかく完全に安全ではなく、複雑さが増すように思われます(ほとんどの場合、セキュリティが高いほど複雑さが増すことを意味します)。

最初のDNSクライアントはDNSSECを認識せず、レコードを解決した同じサーバーにこのレコードの有効性をチェックするように依頼し、NRPTテーブルが存在する場合にのみ実行します(これを追加で構成する必要があります-テーブルなしチェックなし;これはまだですWS 2012/Winの場合8)。アーキテクチャ的に不器用に見えることは別として、クライアントにはDNSサーバーを検証するオプションがありません(この点で100%安全であるためには、WindowsネットワークにIPSecを展開する必要があり、さらに複雑になります)。

では、これらすべてを考慮に入れると、DNSSECを実際の世界に導入する価値はありますか?それは本当にセキュリティを向上させるのでしょうか、それとも単に不必要な複雑さを追加するだけでしょうか?

エンタープライズWindowsネットワークでこのテクノロジを実際に使用している人はいますか?

4
Mikhail

それを見る一つの方法は、それが「それだけの価値がある」かどうかは問題ではないということです。これは、FISMAやFedRAMPなどの特定の監査ポリシーに準拠する必要がある特定の環境では必須です。 (NIST Special Publication 800-53 SC-20およびSC-21をお読みください。)

あなたがそのようなタイプの要件を満たしていない場合、あなただけがそれがあなたにとって価値があるかどうかを決めることができます。 DNSSECとIPsecが複雑さをもたらすのは事実です。 DNSSECをIPsecと結合せずに、内部/プライベートゾーンで使用することの価値は限られていることは事実です。内部/プライベートDNSゾーンに関して話す場合、DNSSECは、クライアントが真の正しいDNSサーバーと話していることを信頼できる場合にのみ本当に役立ちます。また、認証を検証するには、通常、IPsecも必要です。

また、not Server2012未満のWindowsServerでDNSSECを使用することを検討してください。Server2008R2のDNSSECは、SHA-2ではなくSHA-1のみを使用できます。そして、インターネットルートゾーン(つまり、.)はRSA/SHA-256で署名されています。つまり、Server 2008R2はインターネットゾーンのバリデーターとしては役に立ちません。 Server 2012以降では、この問題に対処しています。

その複雑さがあなたやあなたの会社にとって扱いきれないかどうか、あるいは追加の利益がそれだけの価値があるかどうか...主観的すぎて私たちはあなたに答えることができません。

5
Ryan Ries