Ayuda y Resolución de problemas
Registro IPSECKEY
Qué es esto
Los registros IPSECKEY publican claves públicas de IPsec e información de puerta de enlace en el DNS, habilitando IPsec oportunista: túneles cifrados negociados sin intercambio de claves previo.
Cómo interpretar tu resultado
La ausencia es lo normal. Si está presente, el registro solo merece confianza cuando la zona está firmada con DNSSEC: los registros IPSECKEY no firmados podrían ser falsificados por un atacante para interceptar los túneles.
Problemas comunes y cómo solucionarlos
IPSECKEY publicado en una zona no firmada
Cómo se manifiesta: Los pares que usan el registro son vulnerables: un atacante que pueda falsificar respuestas DNS puede sustituir su propia clave y hacer un ataque de intermediario en el túnel "cifrado".
Cómo solucionarlo: Firma la zona con DNSSEC (y publica el registro DS) antes de confiar en IPSECKEY, o distribuye las claves fuera de banda en su lugar.