[GTER] Evitando vazamento das TLDs locais para a Internet e root, cenário DNSSEC

[Henrique de Moraes Holschuh]

On 16-01-2012 10:54, Rubens Kuhl wrote:
>> Motivo pelo qual precisamos ter todos estes domínios devidamente
>> listados via RFC, porque é altamente recomendável proteger todos
>> eles (via zona autoritativa vazia) diretamente nos recursivos que
>> atendem os usuários.
>
> Eu acho importante ter esses domínios listados em RFC, mas não sei
> se deveríamos colocar recursivos como autoridade desses domínios.
>
>> Assim, usuário com máquina nomádica mal configurada recebe um
>> NXDOMAIN do seu recursivo e não fica vulnerável a toda uma classe
>> de ataques.
>
> O problema é que NXDOMAIN em ambiente DNSSEC requer uma assinatura
> válida vinda da cadeia de confiança....

O efeito desejado é atingido de qualquer forma, já que você recebe de
volta algo do tipo SERVFAIL, ou uma mensagem de erro aterrorizante de
alguma espécie (validação na aplicação, o que ainda é lenda até onde
sei).  Existe ainda a possibilidade de override via DLV local em certas
situações.

Em todos os casos, um terceiro não consegue o hijack.

DNSSEC é um queijo suíço bem do podre.  Um pouquinho melhor que nada,
mas o rato bem que gostaria de estar comendo coisa melhor e com menos
furos.  O DNS reverso dos diversos prefixos reservados para uso local
tem o mesmo problema.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.