WiFi ve firme
Jiri Kosina
jikos na jikos.cz
Středa Prosinec 2 17:45:26 CET 2009
On Wed, 2 Dec 2009, Dalibor Toman wrote:
> pod IP-over-DNS jsem si predstavoval bezne zneuziti UDP packetu na port 53 =
> resp pouziti pro jine ucely. Koukam ale , ze nekdo uz napsal driver, ktery
> pouziva k prenosu dat bezne DNS dotazy a odpovedi.
Ano, dokonce jich existuje nekolik ruzne komfortnich (nstx, ozymandns,
etc). Na internetu jsou i verejne sluzby ktere zajisti delegaci subdomeny,
takze to skutecne neni prilis prace zprovoznit. Viz napriklad
http://www.dnstunnel.de/
> To je ovsem v tomto pripade tezko resitelny problem.
Jedna z moznosti je opatchovat si DNS server tak, ze bude spravne
resolvovat az pote, co se uzivatel na webovem rozhrani autentizuje, a do
te doby bude vracet na vsechny dotazy hardcodovane odpovedi.
Tyto hardcodovane odpovedi musi mit samozrejme bezpodminecne velmi nizke
TTL, jinak si klient falesne odpovedi nacachuje a bude je pouzivat i pote,
co se legitimne autentizuje.
Problem je, ze ne vsechny operacni system/resolvery se poskytnutym TTL pro
zaznam ridi, takze je to pouzitelne jen v omezene mire.
Zadne enterprise reseni toto nedela, vicemene vzdy lze IP-over-DNS pouzit.
Vyzkousejte si napriklad na libovolnem letisti :)
--
Jiri Kosina
Další informace o konferenci Linux