NIC a AXFR (was Re: ACL v BINDU - vyznam...)

Dan Lukes dan na fio.cz
Pátek Srpen 27 13:46:16 CEST 1999 

Martin `MJ' Mares wrote:

> Dejstvi prve aneb Proc povolovat?
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> PN> Tohle je teziste me argumentace - ne "Proc zakazat", ale "Proc
> PN> povolit".
> 
>    AXFR je zcela standardni soucasti protokolu DNS (samozrejme nikdo nikde
> nerika, ze povinnou), takze opravdu nevidim zadny duvod, proc by defaultni
> stav mel byt `zakazat'.  To je srovnatelne s tim, kdybyste svuj nameserver

	Nejsem si jist, jestli je dulezite, jaky ma BIND defaultni stav ...
	Cela tahle debata se da zprovodit odkazem na jine pravidlo
(i kdyz tusim nezavazne, protoze jde o RFC o nettiquette)
- o konzervativnosti a toleranci.

	AXFR zaznam *potrebuji* pouze sekundarni nameservery. Naopak,
je tedy v souladu s pozadavkem tolerantnosti, ze MUSIM tolerovat, ze 
nejsem-li sekundar, AXFR mi nebude poskytnut. Psat neco, co je na AXFR
zavisle je ve svetle toho pomerne odvazne. Nelze tedy VYZADOVAT
aby byl AXFR prenos povolen.

	Kazdy necht se rozhodne podle potreb svych a podle toho,
k jakemu ucelu a pro koho domenu zaklada. Pro nekoho je vyhodnejsi
otevrenost, nekdo je paranoidni.

	Naprsto ale souhlasim s pozadavkem nadrazeneho registratora,
aby smel pred zaregistrovanim domeny skontrolovat jeji korektnost.
Jak tady totiz nekdo napsal:
> PN> Podminkou registrace (technickou) by mela byt existence
> PN> funkcnich nameserveru.

A funkcni nameserver je nameserver, ktery funguje v souladu se vsemi
zavaznymi RFC (zejmena, ne vsak vyhradne, temi co se tykaji DNS).
A nejednodusi zpusob jak to okontrolovat je analyzovat kompletni
obsah domeny, na coz je AXFR prenos idealni.


	Pozadavek na to, aby byl prenos povolen pro nadrazeneho
registratora v okamziku regostrace tedy povazuji za naprosto
legitimni (a to presto, ze nepovazuji za overene, ze CZ-NIC neco
takoveho skutecne pozaduje).  Pokud je nekdo paranoidni, necha si
zkontrolovat "prazdnou" domenu, AXFR zakaze a doplni "tajne"
zaznamy.

	Ten kdo je schopen provest takovouhle uvahu uz bude spise
zkusenejsi uzivatel Internetu, u ktereho lze spise predpokladat,
ze bude mit domenu v poradku i nadale. A odchyti to laiky, kteri
delaji vetsinu bordelu. A starat se o to, aby nam Internet
fungoval tak jak ma je starosti nas vsech - a tedy i
registratora, ktery k tomu ma navic lepsi podminky. Je tedy takrka
jeho povinnosti takove kontroly provadet..

	A jestli chcecte nekdo namitnout, ze s touto argumentaci
bych mohl rict, ze ma byt pristup porad, aby mohl NIC provadet
pravidelne kontroly - ano, to je pravda a vim to. Ale az tak
daleko jsem svoji argumentaci nehnal.

> PN> To je dobre. Jeste by mel udelat kontrolu SMTP, WWW, zjistit,
> PN> zda nepouziva derave verze programu, atd.
> 
>    Procpak? Vzdyt NIC se ma starat o DNS a o nic jineho.

	Souhlasim. WWW je ciste tvuj problem, jeho nefunkcnost
zpusobi problem jen tobe a tvym klientum (to u DNS neplati).
	SMTP je problem tvuj a toho, kdo muze byt poskozen, pokud
pres tvuj open-relay zacnou chodit spamy a spravcove siti zacnou
blokovat pristup (kdy se vetsinou neomezuji na ten jeden stroj, ale
na blok IP a/nebo cela domenova jmena) - takze je to vetsinou
problem tveho ISP. Neni to ale problem NICu.


						Dan

-- 

Dan Lukes            tel: +420 2 24102474, fax: +420 2 24102301
root, postmaster (and *master) of FIONet, webmaster of KolejNET
Administrator   of    www.antispam.cz's    spammer    blacklist
AKA: dan at obluda.cz, dan at freebsd.cz, dan kolej.mff.cuni.cz

Další informace o konferenci Linux