12. Вопросы безопасности
Этот документ включает защитные расширения DNS и описывает набор документов, содержащий новые защитные записи и изменения протокола DNS. Расширения обеспечивают аутентификацию источника данных и их целостность за счет применения цифровых подписей для наборов записей о ресурсах. В этом параграфе рассматриваются присущие этим расширениям ограничения.
Для того, чтобы защищенный преобразователь мог проверить отклик DNS, все зоны на пути от доверенной стартовой точки до зоны, содержащей зону из отклика, должны быть подписаны, а все серверы имен и преобразователи, вовлеченные в процесс преобразования, должны быть защищенными, как описано в данном наборе документов. Защищенный преобразователь не может проверить отклики, происходящие из неподписанной зоны, из зоны, не обслуживаемой защищенным сервером имен или в тех случаях, когда данные DNS преобразователь может получить лишь через рекурсивный сервер имен, который не является защищенным. При наличии разрыва в цепочке аутентификации защищенный преобразователь не может получить и проверить нужные ключи аутентификации, следовательно, он не способен проверить корректность соответствующих данных DNS.
В этом документе кратко обсуждаются другие методы защиты запросов DNS (такие, как использование защищенных каналов IPsec или применение механизмов защиты транзакций DNS типа TSIG [RFC2845] или SIG(0) [RFC2931]), но защита транзакций не входит в задачи DNSSEC.
Не проверяющий корректность защищенный оконечный преобразователь по определению не проверяет корректность сигнатур DNSSEC и, вследствие этого, для атак на (или со стороны) защищенные рекурсивные серверы имен, которые выполняют проверку от имени этого преобразователя, а также для атак на соединения преобразователя с такими рексрсивными серверами имен. Единственной известной защитой от первого типа атак является проверка сигнатур самим защищенным преобразователем. Но в этом случае преобразователь (по определению) перестанет быть не проверяющим подписи защищенным оконечным преобразователем.
DNSSEC не защищает от DoS-атак. DNSSEC делает протокол DNS уязвимым к новому классу атак на службы, основанных на использовании криптографических механизмов против защищенных преобразователей и серверов имен — в таких атаках могут предприниматься попытки использования механизмов DNSSEC для потребления значительных ресурсов атакуемой системы. Этот класс атак принимает как минимум две формы. Атакующий может поглотить значительные ресурсы на проверку подписей в защищенном преобразователе путем подмены записей RRSIG RR в откликах или путем создания чрезмерно сложных цепочек сигнатур. Атакующий может также потребить ресурсы защищенных серверов имен, поддерживающих динамические обновления, передавая им поток обновлений, заставляющих сервер заново подписывать некоторые наборы RRset с более высокой частотой, нежели это нужно при нормальной работе.
В результате обдуманного выбора разработчиков DNSSEC не обеспечивает конфиденциальности. DNSSEC позволяет недружественной стороне найти все имена в зоне, следуя по цепочке NSEC. Записи NSEC RR обеспечивают связь существующего в зоне имени со следующим существующим именем в каноническом порядке. Таким образом, атакующий может последовательно запросить записи NSEC RR для получения всех имен в зоне. Хотя это не будет атакой на DNS, атакующий получает возможность узнать имена хостов и других ресурсов, имеющихся в зоне.
DNSSEC значительно усложняет DNS и, следовательно, добавляет новые возможности внесения ошибок в реализации протокола и конфигурацию зон. В частности, включение проверки корректности подписей DNSSEC на преобразователях может привести к тому, что некоторые легитимные зоны целиком станут нечитаемыми в результате конфигурационных ошибок DNSSEC или ошибок в реализации DNSSEC.
DNSSEC не защищает от подмены данных неподписанных зон. Неуполномоченные данные на срезах зон (склеивающие записи и NS RR в родительской зоне) не подписываются. Это не создает проблем при проверке корректности аутентификационной цепочки, но означает, что неуполномоченные (non-authoritative) данные сами по себе уязвимы для подмены при операциях переноса зон. Таким образом, хотя DNSSEC может обеспечить аутентификацию источника данных и целостность данных в RRset, такие функции не обеспечиваются для зон и требуется использовать другие механизмы (такие, как TSIG, SIG(0) IPsec) для защиты операций переноса зон.
Дополнительная информация по вопросам безопасности приведена в [RFC4034] и [RFC4035].