境界ゾーン伝送セキュリティ

境界ゾーン伝送セキュリティ

ドメイン(Webサイト)にNS、A、MX、およびCNAMEレコードを提供する2つのパブリックDNSサーバーがある場合は、ゾーン転送データを暗号化する必要がありますか、マスタースレーブネットワークをプレーンテキストで送信できますか?

私はDebian 8でBind 9を使用しています。

答え1

インターネット上のすべての会話は非公開で行わなければなりません。DNS常にプライベートでなければならず、インターネットを実行する必要があり、きれいなDNS記録がなければネットワークに頼ることはできません。

MITMマスターとスレーブの間で攻撃が発生し、スレーブのレコードを変更すると、マスターのみが必要になり、DOSスレーブは誤ったレコードを提供し始めます。

この良い記事を読んでください記事

答え2

いいえ実際以下の場合を除き、プレーンテキストでゾーンを送信することは危険です。

  • ゾーンには、視聴者に公開してはいけないレコードが含まれています(例:「example.net」ゾーンには、少数の人にのみ公開される「hiddenstuff.example.net」レコードがあります)。
  • 問題のネットワークにはいくつかの固有のセキュリティ問題があります(たとえば、イーサネットを介して送信し、誤ったユーザーがいる場合など)。

答え3

正しい質問を求めることはできませんが、状況を正しい視点で見るのに実際に役立つ十分な文脈を提供していません。

さまざまな方法で、異なるホスト間のゾーンファイル転送を保護できます。まず、マスターはAXFR / IXFRクエリがスレーブからのみ出るように制限でき、スレーブはNOTIFYクエリを制限できます(スレーブはマスターからデータを取得するためイニシエータです)。より強力な認証のためにTSIGがあります。 Bind9を参照してください。ftp://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch04.html#tsig

さらに、今日の多くのネームサーバーファームは単一のソースおよび/または帯域外で構成されています。たとえば、コンテンツはデータベース内にあり、どこかに作成され、次にすべてのrsyncネームサーバーを使用したり、同等に配布したりできます。ネームサーバー間には互いに更新するDNSメッセージはありません。

別の方法で一般的に「隠された」マスターサーバーがあります。つまり、すべてのゾーンファイルの変更がすべてのパブリックネームサーバーに提供されるように見えるネームサーバーです。そこにMITMが存在する方法はありません。隠されたマスターサーバーがあるのか​​分からないからです。サーバーがどこにあるのか、IPなのかはわかりません。 (すでにネームサーバーを制御できる場合はまったく異なる質問です。))

他のコメントで述べたように、今はDNSSECになりました。ゾーンに DNSSEC が正しく設定されていると、誰かがネームサーバーまたはトランスポート中にそのコンテンツを変更しても、新しい回答がまったく署名されないか、間違って署名されるため、検証する再帰ネームサーバーが変更を検出します。

関連情報