Eu preciso do DNSSEC?

4

Depois de ler sobre a realização do DNSSEC no Windows Server 2008 R2, parece-me que acrescenta complexidade extra sem estar totalmente seguro de qualquer maneira (eu entendo que mais segurança significa sempre mais complexidade na maioria dos casos).

O 1º cliente DNS não tem conhecimento sobre o DNSSEC e solicita ao mesmo servidor que resolveu o registro para verificar a validade deste registro e o faz apenas no caso da presença da tabela NRPT (você precisa configurar isso adicionalmente - nenhuma tabela sem verificação; e este ainda é o caso no WS 2012 / Win 8). Além de parecer um pouco desajeitado em relação à arquitetura, a questão é que o cliente não tem nenhuma opção para validar o servidor DNS (para ser 100% seguro, você precisa ter o IPSec implantado na rede do Windows, o que adiciona ainda mais complexidade).

Então, levando tudo isso em conta, a implantação do DNSSEC vale a pena no mundo real? Isso realmente melhora a segurança ou apenas adiciona complexidade desnecessária?

Alguém realmente usa essa tecnologia em redes Windows corporativas?

    
por Mikhail 03.02.2014 / 09:45

1 resposta

5

Uma maneira de ver isso é que não importa se vale a pena ou não. É direto obrigatório em determinados ambientes que devem obedecer a determinadas políticas de auditoria, como FISMA e FedRAMP. (Leia a publicação especial NIST 800-53 SC-20 e SC-21.)

Se você não estiver sob esse tipo de requisito, só poderá decidir se vale a pena ou não. É verdade que o DNSSEC e o IPsec introduzem complexidade. É verdade que o uso do DNSSEC com zonas internas / privadas sem também acoplá-lo ao IPsec é de valor limitado. Ao falar em termos de zonas DNS internas / privadas, o DNSSEC só é realmente útil se o cliente puder confiar que está falando com o servidor DNS verdadeiro e correto. E para validar que a autenticação geralmente também requer IPsec.

Além disso, considere não usando DNSSEC no Windows Server em menos do que o Server 2012. O DNSSEC no Server 2008 R2 é capaz de usar somente SHA-1, não SHA-2. E como a zona raiz da Internet (ou seja, . ) é assinada com RSA / SHA-256, isso significa que o Server 2008 R2 será inútil como um validador de zonas da Internet. Server 2012 e acima resolve este problema.

Se essa complexidade é demais para você ou sua empresa, ou se o benefício adicional vale a pena ... é muito subjetivo e não podemos responder por você.

    
por 31.07.2014 / 01:21