D'accord, je vais admettre quelque chose d'abord: je ne comprends pas vraiment certains des aspects pratiques de la façon dont les protections de DNSSC fonctionnent très bien. (Même après la lecture de ressources comme ceci .)
Eh bien, je comprends certainement pourquoi les protections anti - spoofing pour les recherches de la résolution DNS Nom-Adresse sont très nécessaire . Et je comprends même (à peu près, à un niveau de base) comment les mécanismes de la chaîne de confiance cryptographique travail , à partir des serveurs racines DNS et des domaines de niveau supérieur jusqu'à l'ISP de niveau le plus bas et les serveurs de noms internes/corporatifs à Fournir une base pour le rôle DNSSEC de cryptographique attestant qu'un nom de domaine donné est vraiment lié à une ou plusieurs adresses IP données.
Mais ma compréhension devient floue au point où un périphérique d'utilisateur final tire en réalité des capacités du système DNSSEC pour vérifier que le serveur DNS que le client s'occupe de la vérité lorsqu'il indique qu'un certain nom de domaine est légitimement censé résoudre à une certaine adresse IP. Que, par exemple, www.example.com
est vraiment prévu par les personnes qui la possèdent de pointer vers le 93.184.216.34, et que 93.184.216.34 N'est pas simplement un serveur de substitution malicieux et malicieux, disons, mon navigateur d'accéder à une page Web contrôlée par attaquante au lieu de le véritable.
Quoi qu'il en soit, ma question actuelle n'est pas tout à fait "Je ne comprends pas parfaitement comment DNSSEC fonctionne à un niveau de serveur client/DNS. Veuillez expliquer cela." J'ai une préoccupation plus pragmatique: peut-on configurer un PC ou un périphérique client d'utilisateur final pour le forcer à accepter et à utiliser seulement résultats de recherche DNS qui sont Cryptographiquement vérifié sous DNSSEC ? Configuration d'un PC pour utiliser certains serveurs DNS spécifiques est assez facile, évidemment; Comment configurer un PC à utiliser uniquement des résultats de recherche DNS vérifiés comme légitimes par l'infrastructure DNSSEC? Ou peut-il être fait même; Il y a quelque chose qui me manque sur la manière dont DNSSEC fonctionne au niveau du serveur client/DNS qui signifie que toute ma question est hors base? Ou est quelque chose d'autre?
(Remarque: Je suppose que je demande à la photo d'un environnement client de Windows typique dans ma tête, mais je veux vraiment demander dans un contexte plus général de "y a-t-il une sorte de vérification/vérification dans la DNSSEC qui se produit réellement à la Niveau client ou DNSSEC, une chose purement externe était un client devait "faire confiance à" la sortie finale de certains serveurs DNS? "Et ce dernier semble beaucoup comme s'il aurait juste un certain nombre des mêmes problèmes qui font la Système DNS hérité problématique.)
Peut-on configurer en fait un appareil ou d'un client utilisateur final PC pour le forcer à accepter et utiliser le DNS que des résultats recherche qui sont cryptographiquement-vérifiées dans le cadre DNSSec?
Je ne pense pas qu'il soit possible de le faire directement. Ce que vous pourriez pourriez faire est de configurer un serveur DNS qui jette toute réponse qui n'est pas signé avec DNSSEC. Ensuite, vous pouvez configurer votre réseau local afin qu'il utilise ce serveur DNS. Ce serveur DNS pourrait même être exécuté sur le même hôte. Je ne suis pas au courant de tout serveur existant qui peut être configuré pour le faire. Mais il ne devrait pas être trop difficile d'écrire un tel serveur pour un usage personnel (à savoir pas besoin d'échelle beaucoup).
Mais, puisque la plupart des serveurs sur Internet n'utilisent pas encore DNSSec vous vous couper efficacement cette façon de la plupart de l'Internet. Belle pour une expérience, mais généralement pas utile dans la pratique.
ou est DNSSec quelque chose purement externe était un client devrait " fiducie juste " la fin de la sortie un serveur DNS? "
DNSSEC est généralement pas vraiment intégré dans les systèmes. Cela signifie que les applications sous Windows actuelle, les systèmes Mac ou Linux ne sont généralement pas au courant si l'adresse qu'ils ont obtenu pour un hôte a été récupéré à l'aide DNSSec ou DNS non protégé. Même si le résolveur système connaîtrait cela, l'API est en cours dans les bibliothèques et les langages de programmation pour la plupart ne pas exposer ces informations à l'application ou on ne sait pas à quel point ces informations de l'API peut être lui-même confiance. Pour une lecture intéressante sur la complexité du siège d'émission Soutien à DNSSEC dans le GNU C Library .
Peut-on configurer réellement un PC ou un périphérique d'utilisateur final pour le forcer à accepter et utiliser uniquement des résultats de recherche DNS qui sont vérifiés cryptographiquement sous DNSSEC?
Oui, vous pouvez! Il existe deux façons différentes de le faire:
L'application peut valider les requêtes DNS qu'il effectue. Un exemple de ceci est le validateur DNSSEC Extension pour chrome/Firefox. Cependant, cela ne fonctionne que si l'application (ou un addon) prend en charge.
Les utilisateurs et les administrateurs de réseau peuvent configurer leurs systèmes pour valider eux-mêmes DNSSEC eux-mêmes et ont donc une validation pour toutes les requêtes, quelle que soit leur origine. Le moyen le plus simple actuel de mettre en œuvre est de configurer un résolveur de recourir simple et un proxy tout votre trafic DNS à travers elle. Espérons que, à l'avenir, les développeurs de systèmes d'exploitation ajouteront un soutien DNSSEC à l'OSOS eux-mêmes, il est donc inutile.