= Сообщение: 5918 из 8277 ========================================= RU.LINUX = От : Eugene Grosbein 2:5006/1 11 Sep 19 08:52:28 Кому : Victor Sudakov 11 Sep 19 08:52:28 Тема : Re: DNSSEC FGHI : area://RU.LINUX?msgid=grosbein.net+ffb78f7a На : area://RU.LINUX?msgid=2:5005/49+5d77cfbe = Кодировка сообщения определена как: IBM866 ================================= ============================================================================== 10 сент. 2019, вторник, в 23:17 NOVT, Victor Sudakov написал(а):
EG>> Во всех случаях, когда я сталкивался с любителями подменять инфу EG>> в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах EG>> популярных сервисов в сочетании с локальным ресолвером, EG>> валидирующим ответы (в лице BIND) приводило к "не работает интернет" EG>> с точки зрения клиента. Клиент в данном случае контора с поставленным EG>> ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером. VS> IMHO так и задумано: любитель подменять выводится на чистую воду, а не было бы VS> DNSSEC - подмена осталась бы незамеченной.
Да прям, незамеченно. Hа практике в 99% случаев подменяют DNS вовсе не для перенаправления запросов на подставной сайт, мимикрирующий под оригинал и уводящий конфиденциальную информацию (её нынче сами отдают), а для очень даже заметной выдачи HTTP 451.
EG>> И получается сплошная профанация - хочешь "интернета", EG>> включай форвардинг DNS-запросов через провайдерский DNS явно, VS> IMHO не поможет, если валидацию не отключить при этом.
Ты не понял. Без использования провайдерских DNS в качестве форвардеров локальный рекурсор (BIND) начинает обслуживание запроса про ya.ru с обращений к корневым серверам и затем к серверам зоны RU, запрашивая, в частности, IN DS для зоны RU, и не получает (NOERROR, Answer RRs: 0):
11-Sep-2019 04:24:46.906 no valid DS resolving 'ya.ru/A/IN': 193.232.128.6#53 11-Sep-2019 04:24:46.908 no valid DS resolving 'ya.ru/A/IN': 193.232.142.17#53 11-Sep-2019 04:24:46.909 no valid DS resolving 'ya.ru/A/IN': 194.190.124.17#53 11-Sep-2019 04:24:46.910 no valid DS resolving 'ya.ru/A/IN': 193.232.156.17#53 11-Sep-2019 04:24:46.912 no valid DS resolving 'ya.ru/A/IN': 194.85.252.62#53
Возвращает клиенту SERVFAIL.
А если включить форвардинг запросов через провайдера, то всё прекрасно получает и в случе с ya.ru даже без подмены и "интернет работает".
EG>> а не через mitm. Hу или туннелируй DNS через VPN. VS> Hу а что делать, если завёлся "перехватчик" и уйти на другого провайдера VS> нельзя. EG>> И чего хорошего тут в DNSSEC? В обоих случаях его приходится EG>> убирать с дороги. VS> Hе DNSSEC тут нужно убирать с дороги, а любителя mitm. Потому что доверия к VS> такому провайдеру уже нет, кто знает что он тебе подсунет в DNS-ответах.
А к провайдеру доверия в любом случае нет в нынешних условиях, но решение VPN, а не DNSSEC.