ServerRecords

Hilfe & Fehlerbehebung

IPSECKEY-Eintrag

Worum es geht

IPSECKEY-Einträge veröffentlichen öffentliche IPsec-Schlüssel und Gateway-Informationen im DNS und ermöglichen opportunistisches IPsec — verschlüsselte Tunnel, die ohne vorherigen Schlüsselaustausch ausgehandelt werden.

So liest du dein Ergebnis

Abwesenheit ist die Norm. Falls vorhanden, verdient der Eintrag nur Vertrauen, wenn die Zone DNSSEC-signiert ist — unsignierte IPSECKEY-Einträge könnten von einem Angreifer gefälscht werden, um Tunnel abzufangen.

Häufige Probleme und wie du sie behebst

IPSECKEY in einer unsignierten Zone veröffentlicht

Wie es sich zeigt: Peers, die den Eintrag nutzen, sind verwundbar: Ein Angreifer, der DNS-Antworten fälschen kann, kann seinen eigenen Schlüssel unterschieben und einen Man-in-the-Middle-Angriff auf den "verschlüsselten" Tunnel durchführen.

So behebst du es: Signiere die Zone mit DNSSEC (und veröffentliche den DS-Eintrag), bevor du dich auf IPSECKEY verlässt, oder verteile die Schlüssel stattdessen außerhalb des Kanals (out-of-band).

Abfrage für diesen Eintrag starten