Hilfe & Fehlerbehebung
IPSECKEY-Eintrag
Worum es geht
IPSECKEY-Einträge veröffentlichen öffentliche IPsec-Schlüssel und Gateway-Informationen im DNS und ermöglichen opportunistisches IPsec — verschlüsselte Tunnel, die ohne vorherigen Schlüsselaustausch ausgehandelt werden.
So liest du dein Ergebnis
Abwesenheit ist die Norm. Falls vorhanden, verdient der Eintrag nur Vertrauen, wenn die Zone DNSSEC-signiert ist — unsignierte IPSECKEY-Einträge könnten von einem Angreifer gefälscht werden, um Tunnel abzufangen.
Häufige Probleme und wie du sie behebst
IPSECKEY in einer unsignierten Zone veröffentlicht
Wie es sich zeigt: Peers, die den Eintrag nutzen, sind verwundbar: Ein Angreifer, der DNS-Antworten fälschen kann, kann seinen eigenen Schlüssel unterschieben und einen Man-in-the-Middle-Angriff auf den "verschlüsselten" Tunnel durchführen.
So behebst du es: Signiere die Zone mit DNSSEC (und veröffentliche den DS-Eintrag), bevor du dich auf IPSECKEY verlässt, oder verteile die Schlüssel stattdessen außerhalb des Kanals (out-of-band).