Guida e risoluzione dei problemi
Record IPSECKEY
Di cosa si tratta
I record IPSECKEY pubblicano chiavi pubbliche IPsec e informazioni sul gateway nel DNS, abilitando l'IPsec opportunistico: tunnel crittografati negoziati senza alcuno scambio di chiavi preventivo.
Come leggere il risultato
L'assenza è la norma. Se presente, il record merita fiducia solo quando la zona è firmata con DNSSEC: i record IPSECKEY non firmati potrebbero essere falsificati da un attaccante per intercettare i tunnel.
Problemi comuni e come risolverli
IPSECKEY pubblicato in una zona non firmata
Come si manifesta: I peer che usano il record sono vulnerabili: un attaccante in grado di falsificare le risposte DNS può sostituire la propria chiave e fare man-in-the-middle sul tunnel "crittografato".
Come risolverlo: Firma la zona con DNSSEC (e pubblica il record DS) prima di fare affidamento su IPSECKEY, oppure distribuisci le chiavi fuori banda.