co po mne ten NIC chce ?

[Pavel Kankovsky]

On Sat, 22 Dec 2001, Dan Ohnesorg wrote:

> Podle strategie zakaz vse co nepotrebujes jsou jiste spatne. Otazka je 
> totiz k cemu jsou v dnesni dobe dobre a podle me k nicemu.

Treba k tomu, aby nekdo mohl zkontrolovat, zda je zona ok. Kdybych byl
NIC, tak bych neco takoveho rozhodne aspon pred inicialni delegaci
provadel, abych odfiltroval ty nejhorsi klikose. :)

> Navic pri vhodne volenych hostnamech dokazi poskytnout uzasne informace o 
> topologii site a o tom na ktery pocitac zamerit utok. (napr. z nich jde 
> zjistit, tak jsou serazeny firewally (ktere stroje jsou pred prvnim 
> firewallem,  ktere stroje jsou v DMZ a podobne.))

Neprehanejte. Pokud mohu mluvit z vlastni (whitehat) praxe, tak sice
z pohledu obrance neni od veci utocnikum trochu zamotat hlavu, ale toho
se spis dosahne tim, ze se do DNS vlozi zaznamy zmatecne. A udaje o
topologii jsem vetsinou zjistil lepe jinymi cestami.

Jinak v pripade, ze ma nekdo korektne udelane reverzni zaznamy (coz je
jiste zadouci), lze vetsinu jmen ziskat tak, ze se zeptam na vsechny
reverzy.

A pak lze take ekvivalent AXFR provest pres DNSSECove zaznamy NXT.

V kazdem pripade to neni bezpecnostni (vaham, zda bych tady nemel psat
uvozovky) opatreni, ktere by melo byt nekde na prvnich mistech seznamu.
Je to neco jako predelavani banneru -- clovek by se tim mel zabyvat, az
kdyz uz opravdu nema nic lepsiho na praci.

Jinak je to celkem offtopic, takze dalsi flejmy mym smerem prosim osobne.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."