Hi,
On Tuesday, September 16, 2014 23:41:10 Heiko Schlittermann wrote:
wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung aber nie gemacht hat, würdet ihr das dann als Sicherheitproblem sehen?
Das AD flag signalisiert erfolgreiche Validierung, nicht unbedingt DNSSec. Ältere Interpretationen können auch sein: zwei Anfragen nacheinander hatten das selbe Ergebnis.
Zugegeben, der RFC, der dieses Flag auf DNSSec einschränkt ist 10 Jahre alt - trotzdem gibt es genug Implementationen, die kein DNSSec können.
Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name überhaupt ganz und gar nicht per DNSSec geschützt ist!
(Konfiguriert ist er als DNSSec-Proxy, würde die Validierung im Zweifelsfall also auch nicht selbst machen - aber das ist eine andere Geschichte.)
Offensichtlich kann er entweder kein DNSSec oder ist nicht korrekt konfiguriert (oder buggy).
Ansonsten gilt: wer auf Flags eines Programms am anderen Ende einer Socket vertraut ist selbst schuld.
Konrad