Passa al contenuto principale

8. Considerazioni sulla sicurezza

Questo documento è una chiarificazione di un meccanismo delineato in RFC 1034 e 1035 e come tale non aggiunge nuove considerazioni sulla sicurezza. RFC 3833 [RFC3833] è interamente dedicato alle considerazioni sulla sicurezza per il DNS; la sua Sezione 4.3 delinea gli aspetti di sicurezza del trasferimento di zona dalle minacce alla sicurezza affrontate da DNSSEC.

Le preoccupazioni riguardanti l'autorizzazione, il flooding del traffico e l'integrità dei messaggi sono menzionate in "Authorization" (Sezione 5), "TCP" (Sezione 4.1) e "Zone Integrity" (Sezione 6).

Preoccupazioni di sicurezza principali

  1. Divulgazione di zona non autorizzata: I file di zona possono contenere informazioni sensibili sull'infrastruttura di una rete, inclusi i nomi e gli indirizzi IP degli host interni. I trasferimenti di zona non autorizzati possono aiutare gli aggressori nelle attività di ricognizione. I server AXFR DEVONO implementare meccanismi di autorizzazione (Sezione 5) per restringere i trasferimenti di zona ai client fidati.

  2. Attacchi man-in-the-middle: Senza protezione dell'integrità, un aggressore posizionato tra il client AXFR e il server potrebbe intercettare e modificare i dati di zona in transito. Le implementazioni DOVREBBERO utilizzare TSIG [RFC2845] o SIG(0) [RFC2931] per proteggersi da tali attacchi (Sezione 6).

  3. Denial of Service (DoS): I trasferimenti di zona possono consumare larghezza di banda di rete e risorse del server significative. Un aggressore potrebbe tentare di esaurire le risorse del server avviando molte richieste di trasferimento di zona concorrenti. I server AXFR DOVREBBERO implementare limitazioni del tasso e limiti di connessione per mitigare gli attacchi DoS.

  4. Integrità dei dati: I dati di zona trasferiti devono essere protetti contro modifiche non autorizzate. I client AXFR DOVREBBERO validare l'integrità dei dati ricevuti utilizzando TSIG, SIG(0) o validazione DNSSEC (Sezione 6).

  5. Attacchi di replay: Un aggressore potrebbe catturare un trasferimento di zona legittimo e riprodurlo successivamente, causando potenzialmente il ripristino del client a dati di zona obsoleti. TSIG e SIG(0) forniscono protezione contro gli attacchi di replay attraverso l'uso di timestamp e nonce.

Raccomandazioni

  1. Utilizzare l'autenticazione: I trasferimenti di zona DOVREBBERO essere autenticati utilizzando TSIG o SIG(0). I trasferimenti di zona non autenticati sono vulnerabili agli attacchi di spoofing e man-in-the-middle.

  2. Implementare controlli di accesso: I server AXFR DEVONO implementare politiche di controllo degli accessi per restringere quali client sono autorizzati a richiedere trasferimenti di zona. Le ACL basate su IP, TSIG e SIG(0) sono tutti meccanismi di autorizzazione validi.

  3. Proteggere le zone riservate: Per le zone contenenti informazioni sensibili, gli operatori DOVREBBERO considerare l'uso di crittografia a livello di rete (ad esempio, VPN, IPsec) oltre all'autenticazione a livello di applicazione.

  4. Monitorare i trasferimenti: Gli operatori DOVREBBERO monitorare l'attività di trasferimento di zona per anomalie, come richieste di trasferimento inaspettate o tentativi di autenticazione falliti.

  5. Limitare l'uso delle risorse: I server AXFR DOVREBBERO implementare meccanismi per limitare il consumo di risorse, come:

    • Restringere il numero di trasferimenti di zona concorrenti.
    • Implementare limitazione del tasso per client.
    • Impostare timeout sulle connessioni inattive.

  6. Mantenere il software aggiornato: Gli operatori DOVREBBERO assicurarsi che il software DNS sia mantenuto aggiornato per beneficiare delle correzioni di sicurezza e dei miglioramenti.

Considerazioni DNSSEC

Per le zone firmate DNSSEC, il protocollo AXFR trasferisce tutti i record relativi a DNSSEC (DNSKEY, RRSIG, NSEC, NSEC3, DS). I client AXFR che ricevono zone firmate DNSSEC DOVREBBERO validare le firme DNSSEC sui dati trasferiti per garantire l'integrità.

Tuttavia, DNSSEC non fornisce riservatezza né protegge il protocollo AXFR stesso. TSIG o SIG(0) DOVREBBE comunque essere utilizzato per autenticare le richieste di trasferimento di zona e proteggere contro trasferimenti non autorizzati.

Analisi delle minacce

Per un'analisi completa delle minacce alla sicurezza DNS, incluse quelle relative ai trasferimenti di zona, gli operatori e gli implementatori dovrebbero consultare RFC 3833 [RFC3833], "Threat Analysis of the Domain Name System (DNS)".

Ultimo aggiornamento il