ServerRecords

Guida e risoluzione dei problemi

Record IPSECKEY

Di cosa si tratta

I record IPSECKEY pubblicano chiavi pubbliche IPsec e informazioni sul gateway nel DNS, abilitando l'IPsec opportunistico: tunnel crittografati negoziati senza alcuno scambio di chiavi preventivo.

Come leggere il risultato

L'assenza è la norma. Se presente, il record merita fiducia solo quando la zona è firmata con DNSSEC: i record IPSECKEY non firmati potrebbero essere falsificati da un attaccante per intercettare i tunnel.

Problemi comuni e come risolverli

IPSECKEY pubblicato in una zona non firmata

Come si manifesta: I peer che usano il record sono vulnerabili: un attaccante in grado di falsificare le risposte DNS può sostituire la propria chiave e fare man-in-the-middle sul tunnel "crittografato".

Come risolverlo: Firma la zona con DNSSEC (e pubblica il record DS) prima di fare affidamento su IPSECKEY, oppure distribuisci le chiavi fuori banda.

Esegui una ricerca per questo record