Hallo!
Reverse DNS ist bis zur Delegation an netcup per DNSSEC geschützt. Ab dann übernehmen die netcup-Nameserver, die DNSSEC nicht unterstützen.
Eine kleine Änderung in der Konfiguration mit großer Auswirkung.
Viele Grüße,
DragonWork
Hallo!
Reverse DNS ist bis zur Delegation an netcup per DNSSEC geschützt. Ab dann übernehmen die netcup-Nameserver, die DNSSEC nicht unterstützen.
Eine kleine Änderung in der Konfiguration mit großer Auswirkung.
Viele Grüße,
DragonWork
Wenn ich mir die DNSSEC-Probleme bei netcup so ansehe: Bitte nicht, sonst ist rDNS auch noch kaputt.
Bei so großen Zonen mit häufigen Änderungen könnte das auch eine nicht unerhebliche Auslastung nur fürs erneute Signieren der Zonen bedeuten.
Da die Parent-Zone ja ohnehin DNSSEC validiert ist, müsste das kein großes Unterfangen sein. Ich habe nie Probleme mit DNSSEC gehabt. Außerdem überprüfen i. d. R. nur Mailserver rDNS (mir ist kaum ein anderes Anwendungsszenario bekannt), und dort macht DNSSEC auf jeden Fall Sinn.
Ein großer Teil der Server/Services wäre ja kaum betroffen.
Man könnte Subnets in Child-Zones unterteilen und hätte dadurch keine riesige Zone, die immer wieder neu signiert werden muss.
Mit z. B. PowerDNS geht das recht gut und automatisch.
Edit: rDNS sind wohl die am seltensten aktualisierten Records schlechthin.
Ich habe nie Probleme mit DNSSEC gehabt.
Dann schätze Dich glücklich
Ich habe hier nur eine handvoll Testdomains liegen, die die netcup Nameserver inkl. DNSSEC verwenden, und hier ist DNSSEC seit bald einem Jahrzehnt alle paar Wochen immer wieder kaputt. Selbst mit Monitoring ist das kein Zustand, den man produktiv haben möchte...
Dass DNSSEC auch bei rDNS sinnvoll ist, bestreite ich gar nicht. Aber Fakt ist leider, dass die Legacy-DNS-Infrastruktur bei netcup bezüglich DNSSEC aktuell aus Kundensicht nicht sehr stabil ist.
Edit: rDNS sind wohl die am seltensten aktualisierten Records schlechthin.
Finde ich nicht, da andauernd neue Server hinzu kommen und alte wegfallen. Die Zone wird mindestens bei jeder VPS/RS Bestellung aktualisiert.
Positivbeispiel; ein bekannter niederländischer ISP hat dies erfolgreich umgesetzt: https://www.sidn.nl/en/news-an…t-signs-reverse-dns-zones
Ich verstehe deine Bedenken. Aber netcup sollte eventuell einmal überdenken, seine DNS-Architektur auf den neusten Stand zu bringen und die Chance ergreifen, möglicherweise Vorreiter in Bezug auf DNSSEC-signiertem rDNS in Deutschland zu werden. Vielleicht können in diesem Zuge ja auch die Probleme angegangen werden, die du angesprochen hast, wenn dafür das gesamte System neu aufgesetzt werden muss.
Aber netcup sollte eventuell einmal überdenken, seine DNS-Architektur auf den neusten Stand zu bringen
Das läuft gerade in der Beta-Phase.
Welcher UseCase & Schutz-Ziel soll denn mit kryptographischem DNSSec-Schutz eines Reverse-DNS-Eintrages erreicht werden?
Ich hoffe ja doch, es gibt niemanden der basierend auf einem Reverse-DNS-Eintrag irgendwelche Zugriffe trustet etc...
Selbst wenn die Reverse-Zone mit DNSSec abgesichert wäre könnte ja dennoch jeder hier beliebiges hinterlegen. Es gibt konzeptionell hier ja keinerlei Schutz, dass ich auf meiner Zone mich als whitehouse.gov ausgebe.
Welcher UseCase & Schutz-Ziel soll denn mit kryptographischem DNSSec-Schutz eines Reverse-DNS-Eintrages erreicht werden?
Ich hoffe ja doch, es gibt niemanden der basierend auf einem Reverse-DNS-Eintrag irgendwelche Zugriffe trustet etc...
Selbst wenn die Reverse-Zone mit DNSSec abgesichert wäre könnte ja dennoch jeder hier beliebiges hinterlegen. Es gibt konzeptionell hier ja keinerlei Schutz, dass ich auf meiner Zone mich als whitehouse.gov ausgebe.
Nur, dass whitehouse.gov vermutlich nicht auf deine IP auflösen wird, insofern eh witzlos. Aber einen Unterschied macht es in dem Fall auch nicht. Egal, ob du mir whitehouse.gov mit oder ohne DNSSEC hinterlegst, solange es nicht vorwärts wieder auf deine IP auflöst, sagt mein Mailserver "Und tschüs!" Ich kann aber nicht ausschliessen, dass es Fälle gibt, wo es etwas bringen könnte. Wenn ich mich recht erinnere hiess es bei dem Anbieter ja auch sinngemäß "Warum machen wir das? Weil wir es können!"
Dass DNS für forward-Lookup stets DNSSEC abgesichert sein soll steht außer Frage.
Wie gesagt, welcher UseCase soll das sein, wo man als Angreifer ein ReverseLookup fälschen würde - um was bitte damit zu erreichen?
Wie gesagt: Die dort hinterlegten Informationen sind ja ohnehin nicht validiert, egal ob mit oder ohne DNSSEC.
Was bei den Reverse-Zonen halt schon problematisch mit DNSSEC ist: das geht iterativ beim Resolven ganz schön in die tiefe. Und wenn die Zonen dann alle DNSSEC signiert sind brauchen die auch alle NSEC3 um nicht-existente Records kryptographisch gesichert als nicht-existent nachzuweisen. Und das geht auch bei den iterativ arbeitenden Resolvern dann ganz schön in die CPU-Zyklen ... bei IPv4 gehts ja grad noch so, aber bei IPv6 muss da folgendes iterativ abgearbeitet werden, z.B.: 2a03:4000:6:71ec::cafe resultiert in: E.F.A.C.0.0.0.0.0.0.0.0.0.0.0.0.c.e.1.7.6.0.0.0.0.0.0.4.3.0.a.2.ip6.arpa
Das sind 34 Signaturprüfungen / NSEC3 Hash + Signaturprüfungen. Das belastet so einen Resolver dann schon etwas.
Tatsächlich ist für viele Anwendungen kein Vor-, aber auch kein Nachteil vorhanden.
Dennoch gab es in der Vergangenheit schon einmal einen theoretischen Angriff (wobei ein Reverse Lookup innerhalb eines Bash-Skripts genutzt wurde), der mittlerweile gepatcht ist.
https://seclists.org/fulldisclosure/2014/Oct/53
Mittels DNSSEC wäre man für zero-day exploits gewappnet, die einen bis dato unbekannten Mechanismus ausnutzen, da gespoofte Anfragen bereits auf Resolver-Ebene abgewiesen werden würden.
Ein anderer Aspekt (gerade für Mailserver relevant): Letztendlich kann eine Domain beweisen, dass die IP-Adresse, auf die sie zeigt, auch auf sie referiert. Reziproke Referenz quasi.
Ja, ich könnte eine x-beliebige Domain angeben. Aber umgekehrt ist ja aktuell auch möglich: jede Domain kann auf eine x-beliebige IP verweisen. Wenn IP und Domain jedoch verifizierbar aufeinander zeigen, ist die Authentizität beider Entitäten garantiert.
Ein anderer Aspekt (gerade für Mailserver relevant): Letztendlich kann eine Domain beweisen, dass die IP-Adresse, auf die sie zeigt, auch auf sie referiert. Reziproke Referenz quasi.
Ja, ich könnte eine x-beliebige Domain angeben. Aber umgekehrt ist ja aktuell auch möglich: jede Domain kann auf eine x-beliebige IP verweisen. Wenn IP und Domain jedoch verifizierbar aufeinander zeigen, ist die Authentizität beider Entitäten garantiert.
Ein Mailserver kann mehrere Mail-Domains bedienen, aber eine IP Adresse kann nur einen PTR-Record haben. Außerdem hat mein Mailserver ja ein TLS Zertifikat, bei dem die Domain auch festgeschrieben ist - und die Domain ist mit A Records wiederum abgesichert auf den PTR-Record.
Insofern bringt DNSSEC auf der Ebene keinen Sinn.