Yardım ve Sorun Giderme
IPSECKEY Kaydı
Bu nedir
IPSECKEY kayıtları, IPsec genel anahtarlarını ve ağ geçidi bilgilerini DNS'te yayınlar ve fırsatçı IPsec'i mümkün kılar — önceden anahtar değişimi olmadan görüşülen şifreli tüneller.
Sonucunu nasıl okumalısın
Kaydın olmaması normaldir. Varsa, kayıt yalnızca bölge DNSSEC ile imzalıysa güvene layıktır — imzasız IPSECKEY kayıtları, tünelleri ele geçirmek için bir saldırgan tarafından sahte olarak oluşturulabilir.
Sık karşılaşılan sorunlar ve çözümleri
IPSECKEY imzasız bir bölgede yayınlandı
Nasıl ortaya çıkar: Kaydı kullanan eşler savunmasızdır: DNS cevaplarını sahteleyebilen bir saldırgan kendi anahtarını yerleştirebilir ve "şifreli" tünele ortadaki adam saldırısı yapabilir.
Nasıl düzeltilir: IPSECKEY'e güvenmeden önce bölgeyi DNSSEC ile imzala (ve DS kaydını yayınla) ya da bunun yerine anahtarları bant dışı (out-of-band) dağıt.