DNS security (was: Re: Reverzni DNS)

Matus Uhlar uhlar at ccnews.ke.sanet.sk
Tue Nov 11 11:00:47 CET 1997 

In cz.net.internet was written by Petr Kolar <PETR.KOLAR at vslib.cz>:
->    Mit v domene xxx.com zaznam

-> liberec         IN      CNAME   neco.vslib.cz.

-> (cili liberec.xxx.com je prezdivka stroje neco.vslib.cz) je naprosto legalni
-> zaznam viditelny z celeho sveta. Samozrejme zaznam (opet v zone xxx.com)

-> liberec.xxx.co.au.      IN      CNAME   neco.vslib.cz.

-> legalni neni a bude viditelny pouze na nekterych strojich.

a BIND od verzie 4.9.3 uz taketo zaznamy zo zony odfiltruje. totiz posledne
BINDy sa (konecne) kukaju na bezpecnost trochu podrobnejsie;
napriklad ked som u seba nahodil BIND-4.9.3 (k Solarisu je patych ktory to
robi) zahlasil mi chybu na toto:

tuke.sk.	IN	NS	ccsun.tuke.sk.
ccsun.tuke.sk.	IN	A	147.232.16.12
tuke.sk.	IN	NS	ccduck.ke.sanet.sk.
ccduck.ke.sanet.sk.	IN	A	193.87.100.12

a odmietol poznat ccduck odtialto. a urobil spravne, ak chce poznat adresu
ccduck.ke.sanet.sk., musi pekne zistit od root name serverov adresu
primarneho nameservera pre sk., potom sanet.sk., ke.sanet.sk. a od neho
ccduck.ke.sanet.sk.

jedina vynimka je, ze ccduck.ke.sanet.sk. je primarny server pre
ke.sanet.sk. preto musi jeho adresa byt uv v zone sanet.sk.

okrem toho nove BINDy uz si overuju aj reverzne PTR zaznamy; takze ked si
date zistit kto je 193.87.100.12, nielen ze si najde v zone pre
100.87.193.in-addr.arpa. zaznam pre '12' ale ked zisti ze by to mal byt
ccduck.ke.sanet.sk., zisti si vsetky adresy stroja ccduck.ke.sanet.sk, ci je
medzi nimi  aj adresa ktoru mal na zaciatku, teda 193.87.100.12.
Ak ano, je to v poriadku. Ak nie tak neuveri tomu ze 193.87.100.12 je
ccduck.ke.sanet.sk. a ohlasi ze meno pocitaca nenasiel;

ak si davam v sucasnej dobr traceroute ne mnoho masin, hlasi mi podstatne
viac IP ako predtym. A preco ? casto niekto da ro reverznej zony vsetky IP
routera, kazdemu da nejake (ine) meno, ale do priamej zony da iba jedno z
nich... a novy BIND potom pre vacsinu mien vratenych z IP nenajde dane IP a
odmietne zahlasit hostname...
Nuz bezpecnost je bezpecnost...

-> Nicmene zaznamy
-> z meho prvniho prikladu existovat mohou, nejsou o nic mene "autoritativni"
-> (to se snad pouziva jen pro odpovedi a ne pro zaznamy) nez kterekoli jine,
-> a pokud o nich nevite a nechcete se probirat celym DNS (ono to ani nejde,
-> protoze ls -d . korenove nameservery v soucasne dobe odmitaji), tak nemate
-> sanci je odhalit.

->                                                       S pozdravem
-> --
->                          ***  Petr Kolar  ***
->     Department of Computer Science, Technical University of Liberec
->             Voronezska 1329, 461 17 Liberec, Czech Republic
->              Phone: +420-48-5227-371  Fax: +420-48-5100865
->   E-mail: Petr.Kolar at vslib.cz   http://www.cesnet.cz/staff/kolar.html
--
 Matus "fantomas" Uhlar, sysadmin of one server at SANET Kosice, Slovakia
 E-mail: Matus.Uhlar at tuke.sk ; WWW: http://ccsun.tuke.sk/users/uhlar
 And don't forget: I work for SANET, but talk for myself, dude... ;-)

More information about the net mailing list