Protezione dai registri di deleghe con strascichi in Route 53

Con Route 53, un cliente può creare una zona ospitata, ad esempio example.com per ospitare i propri record DNS. Ogni zona ospitata è dotata di un «set di delega», ovvero un set di quattro name server che un cliente può utilizzare per configurare i record NS nel dominio principale. Questi record NS possono essere chiamati «record NS di delega» o «record di delega».

Affinché la zona ospitata example.com Route 53 diventi autorevole, il legittimo proprietario del example.com dominio deve configurare i record di delega nel dominio principale «.com» tramite il registrar di domini. Nei casi in cui un cliente perda l'accesso ai quattro name server configurati nel dominio principale, ad esempio perché la zona ospitata associata viene eliminata, ciò può creare un rischio sfruttabile da un utente malintenzionato. Si tratta del cosiddetto rischio di «dati di delega sospesi».

Route 53 protegge dal rischio di perdita di dati di delega nel caso in cui una zona ospitata venga eliminata. Dopo l'eliminazione, se viene creata una nuova zona ospitata con lo stesso nome di dominio, Route 53 verificherà se i record di delega che puntano alla zona ospitata eliminata sono ancora presenti nel dominio principale. Se lo sono, Route 53 impedirà l'assegnazione di name server sovrapposti. Questo è lo scenario 1 negli esempi seguenti.

Tuttavia, vi sono altri rischi legati ai record di delega, dai quali Route 53 non è in grado di proteggersi, come illustrato negli scenari da 2 a 6 negli esempi seguenti. Per proteggerti da questo insieme più ampio di rischi, assicurati che i record NS principali corrispondano al set di delega per la zona ospitata da Route 53. È possibile trovare il set di delega di una zona ospitata tramite la console Route 53 oppure AWS CLI. Per ulteriori informazioni, consulta Elencazione di record o get-hosted-zone.

Inoltre, l'abilitazione della firma DNSSEC per una zona ospitata sulla Route 53 può fungere da ulteriore livello di protezione oltre alle best practice sopra menzionate. Il DNSSEC verifica che le risposte DNS provengano dalla fonte autorevole, proteggendo efficacemente da questo rischio. Per ulteriori informazioni, consulta Configurazione della firma DNSSEC in Amazon Route 53.

Esempi

Negli esempi seguenti, supponiamo che tu abbia un dominio e il relativo dominio figlio. example.com child.example.com Spiegheremo come in vari scenari si possono creare record di delega sospesi, come Route 53 protegge il dominio dagli abusi e come mitigare efficacemente i rischi associati ai record di delega sospesi.

Scenario 1:: <ns3><ns4>Si crea una zona ospitata child.example.com con quattro name server:<ns1>,<ns2>, e. La delega viene configurata correttamente nella zona ospitataexample.com, creando record NS child.example.com di delega per quattro name server <ns1><ns2>,<ns3>, e<ns4>. Quando la zona child.example.com ospitata viene eliminata senza rimuovere i record NS della delegaexample.com, Route 53 protegge child.example.com dal rischio che i record di delega non funzionino <ns1><ns2><ns3>, impedendo <ns4>che vengano assegnati a zone ospitate di nuova creazione con lo stesso nome di dominio.
Scenario 2:: Simile allo scenario 1, ma questa volta si eliminano la zona ospitata dai minori E i record NS di delega nella zona example.com ospitata. Tuttavia, si aggiungono nuovamente i record NS di delega <ns1><ns2><ns3>e <ns4>senza creare una zona ospitata da un figlio. Qui si <ns1><ns2><ns3><ns4>tratta di record di delega in sospeso, poiché Route 53 rimuove il blocco, che impediva l'<ns1><ns2><ns3><ns4>assegnazione, e ora consentirà alle zone ospitate appena create di utilizzare server di nomi al di sopra dei name server. Per mitigare il rischio <ns1><ns2><ns3>, rimuovete «e» <ns4>dai record di delega e aggiungeteli nuovamente solo dopo aver creato la zona ospitata dai bambini.
Scenario 3:: <ns4>In questo scenario, si crea un set di delega riutilizzabile Route 53 con name server<ns1>, <ns2><ns3>, e. Quindi, delegate il dominio example.com a questi name server nel dominio principale. .com Tuttavia, non hai ancora creato la zona ospitata per example.com il set di delega riutilizzabile. Ecco,, <ns1><ns2><ns3>, e <ns4>ci sono documenti di delega sospesi. <ns3><ns4>Per mitigare il rischio, crea la zona ospitata utilizzando il set di delega riutilizzabile con name server<ns1>,<ns2>, e.
Scenario 4:: Hai una zona ospitata child.example.com con quattro name server: <ns1><ns2>,<ns3>, e<ns4>. Si aggiunge una delega a <ns1><ns2>,<ns3>, e come <ns4>principale. Quindi si elimina la zona, ma non si rimuove la <ns1><ns2><ns3><ns4>delega,, e. <ns7><ns8>Successivamente, crei una nuova child.example.com zona con nameserver<ns5>,, <ns6><ns7><ns8>, e aggiungi la delega a<ns5>,<ns6>, e. <ns6><ns7><ns8>Ora hai una zona principale con deleghe a<ns1>,, e <ns2><ns3>e <ns4><ns5>, e.. <ns4>Ciò crea un rischio di delega sospeso per<ns1>, <ns2><ns3>, e. <ns5><ns6><ns7><ns8>Per mitigare questo rischio, rimuovi i nameserver inattivi,,, <ns1><ns2><ns3><ns4>dai record di delega, lasciando solo i nameserver attivi,,,. In generale, assicurati sempre che esista una sola delega di sottodominio child.example.com e che i record NS inseriti corrispondano example.com esattamente ai quattro nameserver del set di delega della zona secondaria corrente.
Scenario 5:: Si creano zone ospitate sia child.example.com con name server <ns1><ns2>,<ns3>, <ns4>e, sia grandchild.child.example.com con name server <ns5><ns6>,<ns7>, e<ns8>. Tuttavia, entrambe vengono delegate direttamente nella example.com zona, il che comporta un rischio di delega incerto. Per garantire che le deleghe seguano la corretta gerarchia DNS, delegate i sottodomini solo attraverso le rispettive zone principali immediate. Ad esempio, se desideri delegaregrandchild.child.example.com: prima delega child.example.com con i name server<ns1>,, <ns2><ns3>e <ns4>nella example.com zona, quindi delega grandchild.child.example.com con i name server e <ns5><ns6><ns7><ns8>nella zona e rimuovi tutte le deleghe dirette dalla child.example.com zona. grandchild.child.example.com example.com
Scenario 6:: Se si delega un dominio o un sottodominio ai name server Route 53 prima di creare una zona ospitata corrispondente, si creano record di delega sospesi. Questo è simile al caso dello Scenario 3, ma il rischio si verifica anche quando non viene creato alcun set di deleghe riutilizzabile. Ad esempio, si delega il dominio example.com ai name server<ns1>, <ns2><ns3>, e <ns4>nel dominio principale.com, ma nessuno di questi name server è mai stato ospitato. example.com Route 53 non può proteggersi da questo problema perché non è mai esistita alcuna zona ospitata per stabilire un blocco su quei name server per quel nome di dominio. Per mitigare il rischio, delega solo ai name server Route 53 che appartengono a una zona ospitata pubblica che controlli.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Protezione dei dati

Gestione dell’identità e degli accessi