PROJET AUTOBLOG


Shaarli - Mitsu'liens

Site original : Shaarli - Mitsu'liens

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

DNSSEC: Complexities and Considerations

mercredi 5 novembre 2014 à 16:14
Oooh ça j'ignorais: puisque les zones DNSSEC sont signées, elles sont "complètes". Ce qui signifie que les entrées DNS à usage privé sont rendues publiques.

Exemple: "maison.sebsauvage.net" pourrait servir à Seb pour se connecter à son PC à la maison sans devoir se rappeler de l'adresse IP. En DNS non DNSSEC, il faut arriver à deviner (ou bruteforcer)  le sous-domaine "maison" pour avoir l'IP. Mais en DNSSEC, le serveur retourne l'entrée suivante dans l'ordre alphabétique en cas de requête invalide.

Exemple:
NSEC sebsauvage.net. →  mail.sebsauvage.net.
NSEC mail.sebsauvage.net. → maison.sebsauvage.net.
NSEC maison.sebsauvage.net. → www.sebsauvage.net.
NSEC www.sebsauvage.net. → sebsauvage.net.

Vous voyez ? Le serveur DNS répond par un "circuit", qui révèle l'ensemble de la zone, y compris les sous-domaines "de convenance" tel que "maison".

Oui c'est franchement une mauvaise idée de se faire des "bookmarks" en sous-domaines DNS. Avec DNSSEC, c'est juste toute la zone qui est rendue publique, de fait. Et NSEC3 (NSEC hashé) reste vulnérable au bruteforce, qui est matériellement facile de nos jours (surtout avec des instances AWS GPU).

Et CloudFlare de rappeler enfin que DNSSEC introduisant des réponses DNS plus longues, les attaques DDoS par réflexion DNS n'en sont que renforcées. Bref, beaucoup d'obstacles sur la route de DNSSEC.
(Permalink)
Feed is invalid - XML error: