Hlavní navigace

Názor k článku Chyba v implementaci DNSSEC v BIG-IP load-balancerech od F5 od Filip Jirsák - V článku to není explicitně napsané, ale jestli...

  • 10. 7. 2019 9:23

    Filip Jirsák

    V článku to není explicitně napsané, ale jestli to chápu správně, chyba se projevuje tehdy, když je F5 pro vnější svět uvedený jako autoritativní server nějaké domény, ale ve skutečnosti dělá jen load-balancer a dotazy přeposílá na skutečné (obvykle skryté) autoritativní DNS servery (tj. konfigurace DNS nazývaná „hidden master“). Pak ale ty skryté autoritativní servery obvykle budou v nějaké chráněné síti a load-balancer (resp. DNS cache) by neměl akceptovat odpovědi odjinud, takže by nemělo být možné provést útok otrávením cache.

    Zajímavé by ale bylo, pokud se stejný kód (a agresivní DNS cache na straně F5) používá i v případě, kdy F5 dělá load-balancer např. pro HTTP/HTTPS provoz a backend servery měl nakonfigurované pomocí DNS názvů. Pak by tahle chyba mohla způsobit, že F5 přestane umět překládat názvy backend serverů, což by se projevilo úplně všem uživatelům – nejenom těm, kteří mají zapnuté DNSSEC.