Passa al contenuto principale

10. Considerazioni sulla Sicurezza (Security Considerations)

10.1 Valutazione Complessiva (Overall Assessment)

Prospettiva degli Autori

Gli autori ritengono che questo RR non causi nuovi problemi di sicurezza. Tuttavia, alcuni problemi diventano più visibili.

10.2 Impatto del Filtraggio Basato sulla Porta (Port-Based Filtering Impact)

10.2.1 Specifica della Porta a Grana Fine (Fine-Grained Port Specification)

La capacità di specificare le porte in modo dettagliato ovviamente cambia il modo in cui un router può filtrare i pacchetti.

Implicazioni:

  1. Blocco dei Servizi Esterni (Blocking External Services)

    • Diventa impossibile impedire ai client interni di accedere a servizi esterni specifici

  2. Servizi Non Autorizzati (Unauthorized Services)

    • Leggermente più difficile impedire agli utenti interni di eseguire servizi non autorizzati

  3. Cooperazione Operativa (Operational Cooperation)

    • Più importante che il personale delle operazioni del router e delle operazioni DNS cooperi

10.3 Denial of Service (Denial of Service)

Rischio di DoS

Non c'è modo per un sito di impedire che i suoi host vengano referenziati come server. Questo potrebbe portare a un denial of service.

Scenario di Attacco:

  • L'attaccante crea record SRV che puntano agli host della vittima
  • Un gran numero di client tenta di connettersi
  • La vittima subisce traffico indesiderato

10.4 Estensione dello Spoofing DNS (DNS Spoofing Extension)

10.4.1 Numeri di Porta Falsi (False Port Numbers)

Con SRV, gli spoofer DNS possono fornire numeri di porta falsi, così come nomi host e indirizzi.

10.4.2 Valutazione del Rischio (Risk Assessment)

Non una Nuova Vulnerabilità

Poiché questa vulnerabilità esiste già, con nomi e indirizzi, questa non è una nuova vulnerabilità, semplicemente una vulnerabilità leggermente estesa, con scarso effetto pratico.

Analisi:

  • Il problema fondamentale è l'autenticità DNS
  • L'aggiunta di numeri di porta estende minimamente la superficie di attacco
  • La vera soluzione è DNSSEC

10.5 Strategie di Mitigazione (Mitigation Strategies)

Difese Raccomandate:

  1. DNSSEC

    • Firmare crittograficamente i record DNS
    • Verificare l'autenticità dei record

  2. Sicurezza a Livello Applicativo (Application Layer Security)

    • Utilizzare TLS/SSL per le connessioni di servizio
    • Verificare i certificati del server

  3. Segmentazione della Rete (Network Segmentation)

    • Isolare i servizi interni
    • Implementare difesa in profondità

  4. Monitoraggio (Monitoring)

    • Registrare le query DNS
    • Monitorare i tentativi di connessione
    • Rilevare pattern anomali
Etichette:
Ultimo aggiornamento il