ataques MITM DNSSEC

5

O que torna o DNSSEC imune a um ataque MITM?

Por que não posso assinar uma chave para example.com e fazer isso para um servidor ou cliente de resolução antes que eles possam obtê-la da fonte real?

    
por Bill Gray 02.08.2009 / 05:00

2 respostas

7

O MITM não é impossível, requer muito mais esforço. Devido ao processo de verificação de integridade que Keith e Nik apontaram, você terá que falsificar não apenas o domínio de exemplo.com, mas também .com e. (uma vez que é assinado). O que significa que o simples envenenamento de cache não funcionará mais, você terá que subverter completamente todo o fluxo do resolvedor do destino.

Funciona como o SSL de várias formas. O domínio raiz tem registros de delegação-assinante que são usados para verificar se o resolvedor de domínio filho (.com neste caso) é realmente o resolvedor correto. Isso se repete para cada domínio filho até você chegar a um nome de host. O processo de verificação real funciona em sentido inverso, sobe até a árvore até chegar a um nível não assinado e verifica a partir daí. Os atacantes DNS terão que falsificar toda a árvore de resolução até a raiz assinada (seja .com ou.) Para ter sucesso. É por isso que assinar o root no DNS é um grande negócio.

Muito como o DNSSEC melhora a segurança é tornar muito mais difícil alimentar dados ruins em caches de resolução e melhorar a resistência a jogos com o processo de transação do DNS entre clientes e resolvedores legítimos. Um servidor DNS totalmente comprometido ainda retornará dados inválidos mesmo se estiver usando DNSSEC, e um proxy em linha que reescrever as solicitações de DNS na rede teria que falsificar cada solicitação de DNS não apenas as pretendidas, mas esse é um problema mais difícil de resolver em geral; bem como mais difícil de entrar no lugar em primeiro lugar.

    
por 02.08.2009 / 08:36
4

Este artigo explica um pouco . Um snippit rápido: O que é DNSSEC?

  • DNSSEC é uma proposta de Internet padrão que modifica o recurso DNS registros e protocolos para fornecer segurança para consulta e resposta transações feitas entre o nome de domínio resolvedores e servidores de nomes. Especificamente, a segurança DNSSEC fornece inclui:

  • Verificação de integridade: um DNS resolver pode determinar que informação recebida de um nameserver não foi adulterado em trânsito Autenticação de origem: um O resolvedor DNS pode determinar que o informação recebida proveniente de um servidor de nomes autoritativo

  • Negação autenticada da existência: um O resolvedor de DNS pode verificar se consulta particular é insolúvel porque nenhum registro DNS realmente existe no servidor de nomes autoritativo

por 02.08.2009 / 05:13