NIC a AXFR (was Re: ACL v BINDU - vyznam...)

Petr Novotny Petr.Novotny na antek.cz
Pátek Srpen 27 15:04:13 CEST 1999 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> 	Naprsto ale souhlasim s pozadavkem nadrazeneho registratora,
> aby smel pred zaregistrovanim domeny skontrolovat jeji korektnost.
> Jak tady totiz nekdo napsal:
> > PN> Podminkou registrace (technickou) by mela byt existence
> > PN> funkcnich nameserveru.
> 
> A funkcni nameserver je nameserver, ktery funguje v souladu se vsemi
> zavaznymi RFC (zejmena, ne vsak vyhradne, temi co se tykaji DNS).
> A nejednodusi zpusob jak to okontrolovat je analyzovat kompletni
> obsah domeny, na coz je AXFR prenos idealni.

Dobra. V tom pripade musi byt na tom povidani o registraci 
uvedeno "Pro zkontrolovani bude proveden AXFR z ip adresy 
256.762.32.11. Pokud nerozumite ani slovo, tak se vas tenhle 
odstavec netyka."

> 	A jestli chcecte nekdo namitnout, ze s touto argumentaci
> bych mohl rict, ze ma byt pristup porad, aby mohl NIC provadet
> pravidelne kontroly - ano, to je pravda a vim to. Ale az tak
> daleko jsem svoji argumentaci nehnal.

Mam log plny toho, ze isdn.cz IN NS ukazuje na CNAME. A co 
dela registrator? Nic... Ano, muzu si zakazat logovani, nebo koupit 
vetsi disk, ale to neni jadro pudla.

> 	Souhlasim. WWW je ciste tvuj problem, jeho nefunkcnost
> zpusobi problem jen tobe a tvym klientum (to u DNS neplati).
> 	SMTP je problem tvuj a toho, kdo muze byt poskozen, pokud
> pres tvuj open-relay zacnou chodit spamy a spravcove siti zacnou
> blokovat pristup (kdy se vetsinou neomezuji na ten jeden stroj, ale
> na blok IP a/nebo cela domenova jmena) - takze je to vetsinou
> problem tveho ISP. Neni to ale problem NICu.

Jiste, ve svatem rozhorceni jsem prehanel.

Ovsem stale jeste: Nemel by taky kontrolovat jine prohresky?
IN MX ukazuje na CNAME
IN NS ukazuje na CNAME
IN A ukazuje na CNAME!!!!! (uz jsem to taky videl)
A to nejen pri zavedeni.

A nemel by taky kontrolovat konzistentnost reverznich zaznamu? 
Nemel by kontrolovat, zda nejsou v DNS interni zaznamy typu 
192.168?

Porad jeste neshledavam, koho krome sebe "ohrozuju" tim, ze 
mam bordel v DNS, kterou spravuji. Pokud se z me zony nepoblije 
sekundar, tak nevim, proc by mela nekomu vadit. Kdyz ji mam 
spatne, tak se ke mne proste nikdo nedostane. Kdyz mam spatne 
SMTP, tak mi nikdo nemailne. Kdyz mam spatne WWW, tak si 
nikdo nepocte. V cem je tak podstatny rozdil?

Podminene souhlasim s tim, ze by CZ-NIC mohl kontrolovat 
schopnosti uzivatelu, nez je pusti na sit. Ovsem nevim, proc zrovna 
ze schopnosti nakonfigurovat doprednou domenu se dela veda (a 
ze schopnosti udelat revers - a to konzistentne s doprednou) nikoliv.

A stejne si myslim, ze nejvic bordelu vznikne v pripade, ze to 
nekde nekdo zkuseny nakonfiguruje (kamarad, technik od ISP, 
prodejce, pozdeji-firmu-opustivsi-zamestnanec) a pak se v tom 
zacne hrabat snazivy laik.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBN8aMzVMwP8g7qbw/EQKBJQCgvh6bngHKtJhH4uqcyQ8JR2Fywb4An0uN
xLfOqb0tXeOVElh39FsUd0sr
=WZrk
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux