DNS etc.
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Duben 6 18:52:12 CEST 2000
On Thu, 6 Apr 2000, Petr Novotny wrote:
> Zadratovane konstanty nejsou primarne proti bezpecnosti. I kdyz
> samozrejme udrzbu znesnadnuji hodne silne.
Kdyz je ta hodnota zapsana nejak symbolicky, tak je na ni mnohem lepe
videt, co znamena. A taky je na ni mnohem lepe videt, kdyz je blbe.
> > Bohuzel zadny z nich neni videt zvenku. Pro ty, co z jakehokoli duvodu
> > nechteji/nemohou aliasovat skutecny interfejs, to predstavuje veliky
> > (a IMHO dost zbytecny) problem pri migraci z bindu, ktery umi delat na
> > jednom interfejsu kes i autoritativni ns.
>
> Ano. Za cenu toho, ze buffer oveflow v cache vam zrusi
> administrativni ns.
To z toho rozhodne neplyne. Architektonicky se to da vystavet nekolika
ruznymi zpusoby, z nichz ne vsechny vyzaduji, aby obe komponenty byly
jeden proces. (Nejsou sice nutne vsechny zaroven efektivni a elegantni,
mj. z duvodu absence slusneho IPC v (nejen) unixovych systemech, ale zivot
je vzdycky kompromis mezi hezkym, moznym a vyhodnym.)
> Jenze clovek, ktery ho uci, aby tyto cinnosti delal, je ve svem
> konani omylny. V kritickych systemech (a DNS _je_ kriticky
> system) je treba co nejvice chyb v parsovani vyloucit - nejlepe tim,
> ze se neparsuje.
Otazka zni, zda-li je vyhodnejsi riziko, ze udelam jednou chybu v parseru,
nebo ze budu delat porad chyby ve vstupnich souborech (v tomto bode ovsem
IMHO vyhravaji oba dva soutezici <g>).
> Pokud chci split DNS, mam aspon dve IP adresy. Nebo myslite
> "kazdemu odpovez jinak"? Na to mam ipfwadm a transparent proxy
> (ruzne prichozi rozhazuji na ruzne porty).
Transparent proxy se ale s UDP moc neda pouzit.
> To je mysleno jinak. Program lze matematicky dokazat. Lze tedy
> matematicky dokazat, ze pokud neni v programu _preklep_, je
> program spravny. To je fundamentalni rozdil od pocitu programatora
> "jo, dneska se mi to povedlo".
Oprava: o nekterych programech lze dokazat, ze maji nektere vlastnosti.
(Tim nechci zpochybnovat vhodnost formalnich metod, ale nejsou vsemocne.)
> > > 3. Nema omezeni pouzite pameti.
> > Ale ma. Rozhodne nesezere vic, nez kolik ma ta masina k dispozici. :)
> Pokud mate omezenou pamet a vite to, umite prizpusobit strategii.
Viz ten smajlik.
> Ne. Hlavni vyhoda NENI znesnadneni poisoningu. Hlavni vyhoda je,
> ze i kdyby byla chyba v jedne casti, tak tu druhou cast neohrozi.
> "Nedavej si vsechna vejce do stejneho kosiku."
Stejne vsechny kosiky drzi manik jmenem "kernel" a kdyz je upusti, tak se
vejce rozflakaji vsechny. :)
Krome toho, jestlize se mistni resolvery na vsechno (vcetne lokalne
obsluhovanych zon) dotazuji pres kes (coz je AFAIK djb-approved modus
operandi), pak je naruseni bezpecnosti kese z pohledu lokalnich
uzivatelu nejmene tak zavazne, jako naruseni bezpecnosti mistniho aut.
ns.
> DNS jeste stale - preze vsechna slibovani NSI od roku 1993 - neni
> chranena asymetrickym podpisem (takze by nesla odpoved root serveru
> zfalsovat).
Nejaka zasadni ochrana DNS je stejne irelevantni, dokud neni pevne
svazana s ochranou nasledneho transportu dat.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux