Hallo,
wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und
dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um
eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung
aber nie gemacht hat, würdet ihr das dann als Sicherheitproblem sehen?
Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy
beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq
beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name
überhaupt ganz und gar nicht per DNSSec geschützt ist!
(Konfiguriert ist er als DNSSec-Proxy, würde die Validierung im
Zweifelsfall also auch nicht selbst machen - aber das ist eine andere
Geschichte.)
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: 7CBF764A -
gnupg fingerprint: 9288 F17D BBF9 9625 5ABC 285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B)-
Attachment:
signature.asc
Description: Digital signature