DNS etc.

[Pavel Kankovsky]

On Thu, 6 Apr 2000, Petr Novotny wrote:

> Zadratovane konstanty nejsou primarne proti bezpecnosti. I kdyz 
> samozrejme udrzbu znesnadnuji hodne silne.

Kdyz je ta hodnota zapsana nejak symbolicky, tak je na ni mnohem lepe
videt, co znamena. A taky je na ni mnohem lepe videt, kdyz je blbe.

> > Bohuzel zadny z nich neni videt zvenku. Pro ty, co z jakehokoli duvodu
> > nechteji/nemohou aliasovat skutecny interfejs, to predstavuje veliky
> > (a IMHO dost zbytecny) problem pri migraci z bindu, ktery umi delat na
> > jednom interfejsu kes i autoritativni ns.
> 
> Ano. Za cenu toho, ze buffer oveflow v cache vam zrusi 
> administrativni ns.

To z toho rozhodne neplyne. Architektonicky se to da vystavet nekolika
ruznymi zpusoby, z nichz ne vsechny vyzaduji, aby obe komponenty byly
jeden proces. (Nejsou sice nutne vsechny zaroven efektivni a elegantni,
mj. z duvodu absence slusneho IPC v (nejen) unixovych systemech, ale zivot
je vzdycky kompromis mezi hezkym, moznym a vyhodnym.)

> Jenze clovek, ktery ho uci, aby tyto cinnosti delal, je ve svem 
> konani omylny. V kritickych systemech (a DNS _je_ kriticky 
> system) je treba co nejvice chyb v parsovani vyloucit - nejlepe tim, 
> ze se neparsuje.

Otazka zni, zda-li je vyhodnejsi riziko, ze udelam jednou chybu v parseru,
nebo ze budu delat porad chyby ve vstupnich souborech (v tomto bode ovsem
IMHO vyhravaji oba dva soutezici <g>).

> Pokud chci split DNS, mam aspon dve IP adresy. Nebo myslite 
> "kazdemu odpovez jinak"? Na to mam ipfwadm a transparent proxy 
> (ruzne prichozi rozhazuji na ruzne porty).

Transparent proxy se ale s UDP moc neda pouzit.

> To je mysleno jinak. Program lze matematicky dokazat. Lze tedy 
> matematicky dokazat, ze pokud neni v programu _preklep_, je 
> program spravny. To je fundamentalni rozdil od pocitu programatora 
> "jo, dneska se mi to povedlo".

Oprava: o nekterych programech lze dokazat, ze maji nektere vlastnosti.
(Tim nechci zpochybnovat vhodnost formalnich metod, ale nejsou vsemocne.)

> > > 3. Nema omezeni pouzite pameti.
> > Ale ma. Rozhodne nesezere vic, nez kolik ma ta masina k dispozici. :)
> Pokud mate omezenou pamet a vite to, umite prizpusobit strategii.

Viz ten smajlik.

> Ne. Hlavni vyhoda NENI znesnadneni poisoningu. Hlavni vyhoda je, 
> ze i kdyby byla chyba v jedne casti, tak tu druhou cast neohrozi. 
> "Nedavej si vsechna vejce do stejneho kosiku."

Stejne vsechny kosiky drzi manik jmenem "kernel" a kdyz je upusti, tak se
vejce rozflakaji vsechny. :)

Krome toho, jestlize se mistni resolvery na vsechno (vcetne lokalne
obsluhovanych zon) dotazuji pres kes (coz je AFAIK djb-approved modus
operandi), pak je naruseni bezpecnosti kese z pohledu lokalnich
uzivatelu nejmene tak zavazne, jako naruseni bezpecnosti mistniho aut.
ns.

> DNS jeste stale - preze vsechna slibovani NSI od roku 1993 - neni
> chranena asymetrickym podpisem (takze by nesla odpoved root serveru
> zfalsovat).

Nejaka zasadni ochrana DNS je stejne irelevantni, dokud neni pevne
svazana s ochranou nasledneho transportu dat.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."