Konrad Rosenbaum konrad@silmor.de (Fr 19 Sep 2014 10:36:19 CEST):
Hi,
On Tuesday, September 16, 2014 23:41:10 Heiko Schlittermann wrote:
wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung aber nie gemacht hat, würdet ihr das dann als Sicherheitproblem sehen?
Das AD flag signalisiert erfolgreiche Validierung, nicht unbedingt DNSSec. Ältere Interpretationen können auch sein: zwei Anfragen nacheinander hatten das selbe Ergebnis.
Zugegeben, der RFC, der dieses Flag auf DNSSec einschränkt ist 10 Jahre alt - trotzdem gibt es genug Implementationen, die kein DNSSec können.
Ich meine, der verwendete DNSMASQ ist durchaus jünger.
Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name überhaupt ganz und gar nicht per DNSSec geschützt ist!
(Konfiguriert ist er als DNSSec-Proxy, würde die Validierung im Zweifelsfall also auch nicht selbst machen - aber das ist eine andere Geschichte.)
Offensichtlich kann er entweder kein DNSSec oder ist nicht korrekt konfiguriert (oder buggy).
Er kann kein DNSSEC, nur als „Proxy“, dass heisst, er wird auf die Flags vertrauen, die ihm jemand anders schickt. Je nach verwendeter Infrastruktur mag das ok sein.
Aber ich möchte nicht belogen werden! Denn der andere hatte ihm definitiv kein AD geschickt!
Ansonsten gilt: wer auf Flags eines Programms am anderen Ende einer Socket vertraut ist selbst schuld.
Ja, jedoch würde ich bei einer Verbindung zu 127.0.0.1 erstmal von etwas mehr Vertrauenswürdigkeit ausgehen … (Ja, ich weiss, wenn ich 100% sicher sein möchte, dann muss ich selbst validieren. Aber das war nicht der Punkt.)
Der Punkt war: Wie gefährlich ist dieses Verhalten des DNSMASQ? Ist das ein GRAVE Sicherheitsproblem? Oder MINOR? Oder nichts von beidem?