[Metalab] Netzsperrdiskussionen...

Michael Renner michael.renner at amd.co.at
Wed Jun 16 00:27:16 CEST 2010


On Jun 15, 2010, at 20:20 , Benedikt Gollatz wrote:

> Wenn man falsch oder nicht signierte Records einer signierten Zone ausliefert, 
> ist die Zone dennoch nicht erreichbar und damit die Sperre wirksam. Außerdem 
> wirkt DNSSEC ledglich auf der Strecke zwischen Recursor und Zonenserver. Der 
> Stub Resolver auf der eigenen Maschine kann kein DNSSEC, und der Recursor 
> steht ja meistens gerade bei deinem ISP, der zensieren soll.

Windows 7 hat DNSSEC Validation Support im Stub Resolver. Andere Betriebssysteme werden wohl nachziehen sobald es relevant wird.

Natürlich kann man mit falschen bzw. nicht existenten Records noch ein Denial of Service verursachen, aber meine starke Vermutung ist dass das den betreffenden Kreisen nicht genügen wird. Die Zensur wird ja momentan sehr stark am "Informieren & Abschrecken" festgemacht, und das ist dann nicht mehr gegeben.


> DNSSEC ist da, um Cache Poisoning zu unterbinden, nicht um die gesamte Strecke 
> zwischen Zonenserver und User abzusichern; dazu bräuchte man noch IPsec oder 
> ähnliches.

Um das in Kontext zu setzen: Die Integrität jeder Antwort wird gewährleistet, ja. Einzelne Pakete lassen sich allerdings noch immer leicht rausschiessen, allerdings nicht mehr umschreiben.

lg,
Michael
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20100616/537ff397/attachment.html>


More information about the Metalab mailing list