co po mne ten NIC chce ?
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Prosinec 23 21:38:28 CET 2001
On Sat, 22 Dec 2001, Dan Ohnesorg wrote:
> Podle strategie zakaz vse co nepotrebujes jsou jiste spatne. Otazka je
> totiz k cemu jsou v dnesni dobe dobre a podle me k nicemu.
Treba k tomu, aby nekdo mohl zkontrolovat, zda je zona ok. Kdybych byl
NIC, tak bych neco takoveho rozhodne aspon pred inicialni delegaci
provadel, abych odfiltroval ty nejhorsi klikose. :)
> Navic pri vhodne volenych hostnamech dokazi poskytnout uzasne informace o
> topologii site a o tom na ktery pocitac zamerit utok. (napr. z nich jde
> zjistit, tak jsou serazeny firewally (ktere stroje jsou pred prvnim
> firewallem, ktere stroje jsou v DMZ a podobne.))
Neprehanejte. Pokud mohu mluvit z vlastni (whitehat) praxe, tak sice
z pohledu obrance neni od veci utocnikum trochu zamotat hlavu, ale toho
se spis dosahne tim, ze se do DNS vlozi zaznamy zmatecne. A udaje o
topologii jsem vetsinou zjistil lepe jinymi cestami.
Jinak v pripade, ze ma nekdo korektne udelane reverzni zaznamy (coz je
jiste zadouci), lze vetsinu jmen ziskat tak, ze se zeptam na vsechny
reverzy.
A pak lze take ekvivalent AXFR provest pres DNSSECove zaznamy NXT.
V kazdem pripade to neni bezpecnostni (vaham, zda bych tady nemel psat
uvozovky) opatreni, ktere by melo byt nekde na prvnich mistech seznamu.
Je to neco jako predelavani banneru -- clovek by se tim mel zabyvat, az
kdyz uz opravdu nema nic lepsiho na praci.
Jinak je to celkem offtopic, takze dalsi flejmy mym smerem prosim osobne.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux