MoinQ:

DNSSEC/delegationについて、ここに記述してください。

1. DNSSEC 下での委譲

http://xs.powerdns.com/presentation-hitb/ http://xs.powerdns.com/presentation-hitb/dnssec-good-very-bad.pdf

slide 24-26

2. On the delegation issue

Each name in DNSSEC has exactly ONE signature(set)

So if ns1.fox-it.com is part of the .com zone,
AND part of the fox-it.com zone, it will only be signed in the fox-it.com zone
And not in com!

 So how do we perform a secure delegation?   WE DON'T!
 So if your zone is not signed, but .com is, you don't benefit at all
 So, what IS signed?

If your zone is not DNSSEC secured, like fox-it.com for example,
   there will be cyptographic proof of that (!)

Thanks dudes

Against downgrade attacks!

DNSSEC technique:

3. denial of service

Since delegating answers, for example from .com, are not themselves DNSSEC secured,
they can be modified at will

For example, to point at 127.0.0.1

Since DNSSEC verification only happens at the end

Or in this case, not at all

This means that DNSSEC does nothing to protect the interim resolution steps

4. 関連情報

ゾーン外のNSを用いている場合の弊害があれば教えてください
  • キャッシュDNSサーバはDNSSECで守られていない委任情報を辿る可能性がある
    – キャッシュへの毒入れ攻撃があると、最終的なDNSSECの委任先へ辿りつけない ⇒ 目的の名前解決ができない
  • ゾーン外のNSはDNS的には...
    – 運用面で止むを得ない場合があるのは確か
    – 出来る範囲でゾーン内のNSでお願いしたい 


DNSSECは嘘を見破る技術
– 正しい答えを見つける技術では無い

ここの「嘘」とは偽の署名のことである。

RRSIGのないものについてはなにも言えない。

DNSSECで保護されていない情報はすべて嘘だと思わないと使えないのではないか。あるいは個々にユーザが判定するか。

-- ToshinoriMaeno 2011-06-16 12:55:52


https://twitter.com/#!/OrangeMorishita/status/82103825170833408

数年前に私も相当考えました。
NSが返る局面では
  DNSSECありだとNS, DS, RRSIG(DS)が返って、
  DNSSECなしの委任だとNS, NSEC, RRSIG(NSEC)が返り、
  DSやNSECに署名がつくので、
偽のNSは突っ込めそうもない、というのが、私の結論でした。

委任の部分に弱点があるのではないか、というのは、やっぱり最初に疑うところです。
×DSやRRSIGに署名がつく 〇DSやNSECに署名がつく

5. DNSSEC 利用ドメインが安全だという証明はされていない

6. キャッシュサーバの実装

RFC 4035の説明で十分だろうか。 ../キャッシュサーバ

7. 偽委譲の処理

/偽委譲