Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS. Ресурсы: LaTeX - DNSSEC: проверка, внедрение
Трансфер зоны DNS – “новая” “угроза”
US-CERT распространил новое предупреждение об угрозе: “трансфер зоны DNS может раскрыть информацию о домене“. Это довольно странно, потому что известно очень много лет, соответственно – какая новая угроза? (В предупреждении, впрочем, сказано, что причина в большом распространении серверов, разрешающих трансфер зроны для всех желающих.)
Запросы AXFR (Asynchronous Transfer Full Range) – трансфер зоны – позволяют получить с сервера имён полный список записей в зоне DNS, то есть, фактически, увидеть все настройки адресации домена. Эти запросы используются для передачи сведений между разными авторитативными серверами, поддерживающими зону, а также в других случаях. Разумное толкование подсказывает, что все данные, публикуемые в глобальной DNS, должны являться публичными, по определению. Те не менее, доступ на трансфер зоны обычно ограничивают некоторыми доверенными серверами, чтобы не всякий мог скачать всю зону одним запросом, а только те узлы, которым это нужно. Так делается много лет.
Вообще, споры о том, нужно ли считать угрозой возможность получения полного (или близкого к полному) списка записей в той или иной доменной зоне – идут уже сильно дольше десяти лет. Например, этот момент повлиял на технологию DNSSEC. Для того, чтобы подтвердить, что записи для некоторого имени не существует, в DNSSEC нужно передавать в ответ на запрос указание на “ближайшую” существующую запись (на имя записи). Изначально разработчики DNSSEC пошли по “открытому пути” и предложили решение с записями NSEC, которые, в ответ на запрос о несуществующем имени, просто включают одно из имён в зоне, в открытом виде. Естественно, это позволяет быстро перебрать все записи и получить полный список имён, реконструировав зону. Защитники “безопасности через сокрытие” выставили кучу возражений, в результате появилось расширение NSEC3, где ответы содержат не сами имена, а значения хеш-функций, что делает перебор вычислительно трудным.
Так вот теперь, похоже, нужно ждать свежего “открытия” “угрозы” раскрытия списка имён доменной зоны через NSEC в технологии DNSSEC. Хотя, DNSSEC пока что не имеет должного распространения.
()
Похожие записки:
- Симметричные блочные шифры на примере ГОСТ Р 34.12-2015 "Магма"
- Symantec и "кривые" сертификаты
- Изменение среды
- TLS 1.3 на подходе
- Смартфоны с разнообразными датчиками и скрытая передача данных
- Самоуправляемые автомобили: "злоупотребление" протоколами
- Техническое: типовые настройки DH и возможные закладки
- Symantec и браузер Chrome
- Сеть Биткойн, блокчейн и квантовые компьютеры
- Антивирусы и "подмена" сертификатов в браузерах
- Смартфон, скрытно прослушивающий разговоры
- Сложности стеганографии
- Шифрование в "индустриальных" протоколах и анализ трафика
- Интернет вещей: шифр "Магма" (ГОСТ Р 34.12-2015) для Arduino
- Подделка сигнала GPS (GPS-спуфинг)
- Прикладная криптография для Arduino: шифр Speck, сравнение с шифром "Магма"
- Квантовое распределение ключей и практическая безопасность
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (