[Metalab] Netzsperrdiskussionen...

Benedikt Gollatz ben at differentialschokolade.org
Wed Jun 16 00:57:23 CEST 2010 

On Wednesday, June 16, 2010, 00:27 Michael Renner wrote:
> On Jun 15, 2010, at 20:20 , Benedikt Gollatz wrote:
> > Wenn man falsch oder nicht signierte Records einer signierten Zone
> > ausliefert, ist die Zone dennoch nicht erreichbar und damit die Sperre
> > wirksam. Außerdem wirkt DNSSEC ledglich auf der Strecke zwischen
> > Recursor und Zonenserver. Der Stub Resolver auf der eigenen Maschine
> > kann kein DNSSEC, und der Recursor steht ja meistens gerade bei deinem
> > ISP, der zensieren soll.
> 
> Windows 7 hat DNSSEC Validation Support im Stub Resolver.

Nein.

| DNSSEC in Windows Server 2008 R2 and Windows 7
| Non-validating security-aware stub resolver
|
| The DNS client service is included in every version of the Windows operating
| system, no matter if the computer is also a DNS server.
|
| The Windows DNS client is a stub resolver, which means it always issues
| recursive queries to the DNS servers configured on its network interfaces
| (hereafter referred to as local DNS servers). With the implementation of
| DNSSEC, the client remains a stub resolver.
|
| The DNS client is now security-aware, which means that when issuing queries,
| the DNS client can indicate to the local DNS server that it understands
| DNSSEC by setting the DNSSEC OK bit in queries. The client can also process
| the new DNSSEC resource records in addition to the DNSSEC EDNS0 bits in
| responses.
|
| However, the DNS client is non-validating, which means it does not perform
| DNSSEC validation; it relies on its local DNS servers for validation
| instead. If the local DNS server indicates the successful validation of the
| name, the DNS client returns the name resolution results to the application.
| If the server failed validation, the client will not return the results to
| the application.

<http://technet.microsoft.com/en-us/library/ee649277%28WS.10%29.aspx>

Wie bitteschön soll ein Stub Resolver auch die ganze Signaturkette 
verifizieren und gleichzeitig nur ein Stub Resolver sein? Das ist ein 
Widerspruch in sich. Selbstverständlich vertraut der Stub Resolver dem 
Recursor, sonst müsste er selbst iterieren und wir alle müssten auf das 
Caching verzichten.

> Andere Betriebssysteme werden wohl nachziehen sobald es relevant wird.

Das bezweifle ich.

> > DNSSEC ist da, um Cache Poisoning zu unterbinden, nicht um die gesamte
> > Strecke zwischen Zonenserver und User abzusichern; dazu bräuchte man
> > noch IPsec oder ähnliches.
> 
> Um das in Kontext zu setzen: Die Integrität jeder Antwort wird
> gewährleistet, ja. Einzelne Pakete lassen sich allerdings noch immer
> leicht rausschiessen, allerdings nicht mehr umschreiben.

Nein. Die Integrität ist nur bis zum Recursor gewährleistet. Ab da kann der 
ISP Schindluder treiben wie er will und auch MITM-Attacken sind ab da möglich, 
so lange man für diese Strecke kein IPsec o.ä. einsetzt. Dem Recursor 
vertrauen muss man in beiden Fällen.

More information about the Metalab mailing list