it-swarm-es.com

¿Tiene DNSSec algún beneficio si se usa con IPv6 habilitado para IPSec?

No estoy seguro de si las RFC admiten una implementación de DNS solo con IPSec, pero si lo hace, ¿qué significa eso para DNSSec?

¿DNSSec es una tecnología solo IPv4?

9
goodguys_activate

DNSSEC proporciona algo bastante diferente a IPSec, y cualquiera o ambos pueden satisfacer sus necesidades. IPSec puede cifrar paquetes y firmarlos, proporcionando evidencia de que provienen de algo en el que confía, SI tiene una PKI (Infraestructura de clave pública) en la que puede confiar. Pero ese "SI" es una tarea muy difícil, especialmente dada la presencia en estos días en los almacenes de certificados predeterminados "confiables" más comunes de certificados raíz controlados por gobiernos extranjeros en quienes ciertamente no confiaría.

Si solo desea una VPN privada, utilizando solo sus propios certificados y redes y sus propios servidores DNS, IPSec puede proporcionar lo que desea. Pero si desea saber desde la red pública dónde enviar sus paquetes en primer lugar, es decir, a través de un mapeo seguro de nombres de dominio a direcciones IP, para eso está DNSSEC.

Tenga en cuenta también que en un futuro no muy lejano (esperamos) el grupo de trabajo Keys In DNS (niños) casi formado del Grupo de trabajo de ingeniería de Internet, que ayudará a integrar estos y otros protocolos de seguridad de una manera que se evite el pantano actual de "Autoridades de certificación": http://www.spinics.net/lists/ietf-ann/msg57258.html

Actualización : la propuesta del grupo de trabajo de niños fue adoptada bajo el nombre DANE: Autenticación basada en DNS de Entidades Nombradas . Escribió RFC6698 que se implementó en algunas herramientas, bibliotecas y extensiones de navegador, pero no se convirtió en una característica de navegador convencional.

Tecnologías alternativas como fijación de certificado (secse) potencialmente ayudado por HTTP Strict Transport Security han ayudado con los problemas subyacentes.

6
nealmcb

La página de Wikipedia Sección DNS de IPv6 no tiene nada sobre la defensa contra respuestas DNS falsas, por lo que parece que DNSSec sigue siendo necesario.

1
Zian Choy