12. Security Considerations (Considerazioni sulla sicurezza)

Questo documento introduce le estensioni di sicurezza DNS e descrive l'insieme di documenti che contiene i nuovi record di sicurezza e le modifiche al protocollo DNS. Le estensioni forniscono autenticazione dell'origine dei dati e integrità dei dati utilizzando firme digitali su insiemi di record di risorse. Questa sezione discute le limitazioni di queste estensioni.

Affinché un resolver consapevole della sicurezza possa convalidare una risposta DNS, tutte le zone lungo il percorso dal punto di partenza fidato alla zona contenente le zone di risposta devono essere firmate, e tutti i name server e i resolver coinvolti nel processo di risoluzione devono essere consapevoli della sicurezza, come definito in questo insieme di documenti. Un resolver consapevole della sicurezza non può verificare le risposte provenienti da una zona non firmata, da una zona non servita da un name server consapevole della sicurezza, o per qualsiasi dato DNS che il resolver è in grado di ottenere solo attraverso un name server ricorsivo che non è consapevole della sicurezza. Se c'è un'interruzione nella catena di autenticazione tale che un resolver consapevole della sicurezza non può ottenere e convalidare le chiavi di autenticazione di cui ha bisogno, allora il resolver consapevole della sicurezza non può convalidare i dati DNS interessati.

Questo documento discute brevemente altri metodi per aggiungere sicurezza a una query DNS, come l'uso di un canale protetto da IPsec o l'uso di un meccanismo di autenticazione delle transazioni DNS come TSIG ([RFC2845]) o SIG(0) ([RFC2931]), ma la sicurezza delle transazioni non fa parte di DNSSEC di per sé.

Un resolver stub consapevole della sicurezza non validante, per definizione, non esegue la convalida della firma DNSSEC da solo e quindi è vulnerabile sia agli attacchi su (e da) i name server ricorsivi consapevoli della sicurezza che eseguono questi controlli per suo conto sia agli attacchi sulla sua comunicazione con tali name server ricorsivi consapevoli della sicurezza. I resolver stub consapevoli della sicurezza non validanti dovrebbero utilizzare una qualche forma di sicurezza del canale per difendersi da quest'ultima minaccia. L'unica difesa conosciuta contro la prima minaccia sarebbe che il resolver stub consapevole della sicurezza esegua la propria convalida della firma, a quel punto, per definizione, non sarebbe più un resolver stub consapevole della sicurezza non validante.

DNSSEC non protegge dagli attacchi denial of service. DNSSEC rende DNS vulnerabile a una nuova classe di attacchi denial of service basati su operazioni crittografiche contro resolver consapevoli della sicurezza e name server consapevoli della sicurezza, poiché un attaccante può tentare di utilizzare i meccanismi DNSSEC per consumare le risorse di una vittima. Questa classe di attacchi assume almeno due forme. Un attaccante potrebbe essere in grado di consumare risorse nel codice di convalida della firma di un resolver consapevole della sicurezza manomettendo i RR RRSIG nei messaggi di risposta o costruendo catene di firme inutilmente complesse. Un attaccante potrebbe anche essere in grado di consumare risorse in un name server consapevole della sicurezza che supporta l'aggiornamento dinamico DNS, inviando un flusso di messaggi di aggiornamento che costringono il name server consapevole della sicurezza a firmare nuovamente alcuni RRset nella zona più frequentemente di quanto sarebbe altrimenti necessario.

A causa di una scelta progettuale deliberata, DNSSEC non fornisce riservatezza.

DNSSEC introduce la capacità per una parte ostile di enumerare tutti i nomi in una zona seguendo la catena NSEC. I RR NSEC affermano quali nomi non esistono in una zona collegando da nome esistente a nome esistente lungo un ordinamento canonico di tutti i nomi all'interno di una zona. Pertanto, un attaccante può interrogare questi RR NSEC in sequenza per ottenere tutti i nomi in una zona. Sebbene questo non sia un attacco al DNS stesso, potrebbe consentire a un attaccante di mappare host di rete o altre risorse enumerando il contenuto di una zona.

DNSSEC introduce una complessità aggiuntiva significativa al DNS e quindi introduce molte nuove opportunità per bug di implementazione e zone configurate in modo errato. In particolare, l'abilitazione della convalida della firma DNSSEC in un resolver può causare che intere zone legittime diventino praticamente irraggiungibili a causa di errori di configurazione DNSSEC o bug.

DNSSEC non protegge dalla manomissione dei dati di zona non firmati. I dati non autoritativi ai tagli di zona (record glue e NS nella zona padre) non sono firmati. Questo non rappresenta un problema quando si convalida la catena di autenticazione, ma significa che i dati non autoritativi stessi sono vulnerabili alla manomissione durante le operazioni di trasferimento di zona. Pertanto, mentre DNSSEC può fornire autenticazione dell'origine dei dati e integrità dei dati per gli RRset, non può farlo per le zone, e altri meccanismi (come TSIG, SIG(0) o IPsec) devono essere utilizzati per proteggere le operazioni di trasferimento di zona.

Si prega di consultare [RFC4034] e [RFC4035] per ulteriori considerazioni sulla sicurezza.