systemd-networkdがUseDomains =(DHCPのドメイン検索リスト)をLLMNRより安全性が低いと見なすのはなぜですか?

systemd-networkdがUseDomains =(DHCPのドメイン検索リスト)をLLMNRより安全性が低いと見なすのはなぜですか?

ドメイン名の使用=

ブール引数または特殊値「route」を使用します。 trueの場合、DHCPサーバーから受信したドメイン名は、Domains =設定の効果と同様に、このリンクのDNS検索ドメインとして使用されます。 「route」に設定すると、DHCPサーバーから受信したドメイン名はDNSクエリルーティングにのみ使用され、検索には使用されません。これは、パラメータプレフィックスが「〜」の場合のDomains =設定の効果と似ています。デフォルトは偽です。

このオプションを設定すると、すべてのホスト名、特に単一ラベル名の解決に影響を与えるため、信頼できるネットワークでのみこのオプションを有効にすることをお勧めします。単一ラベル名のローカル解決に影響を与えないように、通常、検索ドメインではなく、提供されたドメインをルーティングドメインとして使用する方が安全です。

比較する

LLMNR=

ブールまたは「構文解析」です。 trueの場合、リンク - ローカルマルチキャスト名解決はリンクで有効になります。 「解決」に設定すると、解析のみが有効になり、ホストの登録と通知は有効になりません。デフォルト値はtrueです。

ただし、LLMNRは単一のラベル名も解析できます。誰でもこれを説明できますか?

源泉:https://www.freedesktop.org/software/systemd/man/systemd.network.htmlsystemd バージョン 239 から始まります。

答え1

A Reasonは2015年にリリースされました。
https://www.mail-archive.com/[Eメール保護]/msg31563.html

iiuc、懸念されるのは、検索サフィックスを制御することで、マルチレベルドメイン(つまり、1つ以上のドットを持つドメイン)がなりすましできることです。ただし、2つ以上のレベルを持つ名前の場合、glibcは代替手段として検索リストのみを使用します。

もちろん、検索ロジックの先頭に影響を与える可能性があるのは、検索ロジックの最後に影響を与えるよりも問題がありますが、まだ「home.foobar.com」を挿入できるので問題になると思います。 "をAドメイン"foobar.com"に設定します。このドメイン自体には"home.foobar.com"がなく、"www.bar.com"のみがあります...

もちろん、既存(DNSSECではない)DNSは決して完全に安全ではありません。しかし、私はまだより安全なオプションをデフォルト値に設定し、他のオプションを許可する必要があると思います。

検索パスを変更することは、本質的にパブリックネットワークでは意味がなく、ネットワークをよく知っていてある程度信頼する場合にのみ意味があります。したがって、選択することが私にとってはより良い選択のようです。

関連情報