WiFi ve firme
Dalibor Toman
dtoman na fortech.cz
Středa Prosinec 2 17:44:22 CET 2009
On Wednesday, December 02, 2009 5:33 PM ,
Jiri Kosina <jikos na jikos.cz> wrote:
> On Wed, 2 Dec 2009, Dalibor Toman wrote:
>
>>> IP-over-DNS tam pravdepodobne bude fungovat, ze?
>>
>> ledacos jde odfiltrovat (v tomto pripade zrejme povolit DNS server
>> jen schvaleny a inzerovany DHCP, pripadne by mohlo fungovat i
>> nucene
>> presmerovani vsech DNS requestu na nejaky konkretni server - treba
>> primo APCko)
>
> Coz ovsem IP-over-DNS nikterak nezabrani, protoze predpokladam, ze
> at
> uz se pouzije libovolny DNS server, bude stale klientum resolvovat.
> Coz je dostatecny postranni kanal.
uz mi to doslo - resp predstavoval jsem si pod IP-Over-DNS obycejne
IP over UDP
> Tohle je problem pritomny ve vicemene vsech existujicich (i "hodne
> enterprise") resenich, ktere autentizaci delaji az na urovni
> aplikacniho protokolu.
to je celkem jasne. Nenapada me jak se proti tomu branit. Jedine snad
nejaky limiter na pocet DNS packetu per klient (ten by mohl utocnika
znechutit). Parsovani requestu/response a vyhodnocovani legalnosti asi
nebude take jednoduche/spolehlive. Mozna by pomohlo (docasne)
filtrovat TXT (pripadne ho modifikovat) .
D. Toman
Další informace o konferenci Linux