Portál AbcLinuxu, 10. května 2025 12:31

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
Nicky726 avatar 16.12.2011 13:24 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
Odpovědět | Sbalit | Link | Blokovat | Admin
Jenom abych si to ujasnil, aby to fungovalo, musí mít člověk nastavené O2 DNS, které cenzuruje internet, je to tak?
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
16.12.2011 14:15 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
Myslím, že to nejde dohromady. Pomocí DNSSEC by přece mělo jít upravení DNS odpovědi nebo zamlčení domény odhalit.
multi avatar 16.12.2011 14:17 multi | skóre: 38 | blog: JaNejsemOdsut
Rozbalit Rozbalit vše cenzura
cenzura me taky hnedka napadla, ale osobne cekal, ze takove odpovedi musi byt vyhodnoceny jako spatne, ne?
Fitness ajťák: kutilův web; bezdrátová čidla teploty vývoj softwaru linux server
16.12.2011 15:20 j
Rozbalit Rozbalit vše Re: cenzura
Oddelte dve veci.

a) dnssec na dns serveru ktery je primarnim/sekundarnim serverem X domen. To je vporadku, pokud dostanete odpoved od takoveho serveru (nebo odpoved jim podepsanou), muzete si overit, ze ta odpoved nebyla cestou zmenena. K tomu ovsem potrebujete !!!vlastni!!! dns resolver (neboli vlastni dns server).

b) dnssec na resolveru - tedy na tom, ceho se ptaji klienti, ale co samo o sobe zadne domeny neobsahuje (muze, ale nemusi). Tady nastava zasadni problem. Tomuto musite na 100% verit, protoze to je to cosi, co vam ve finale bud zdeli sladke tajemstvi (tedy IP adresu ktera se vaze k vybrane domene) nebo vam nesdeli NIC (pokud odpoved neodpovida = neni spravne podepsana). Jenze uplne stejne vam nemusi vratit NIC i v pripade, ze domena je podepsana korektne, pripadne vam klido muze vratit uplne cokoli jineho. Klient neni schopen (bez vlastniho DNS) zjistit skutecny stav veci.

Jedina spravna cesta je, ze dns preda vzdy i "podvrzene" odpovedi a je na klientovi jak snimi nalozi (samo napriklad ve firemnim prostredi staci dns provozovany firmou).
16.12.2011 15:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: cenzura
Nevidím důvod, proč bych DNS resolveru musel věřit – proč bych jeho odpověď nemohl zvalidovat úplně stejně, jako to udělám s odpovědí autoritativního serveru?
16.12.2011 16:04 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: cenzura
Standardní dnešní chování je to, že resolvery v SOHO sítích si nechávají odpovědi od DNS serverů svých ISP. Pokud se tento přístup extrapoluje do světa DNSSEC, znamenalo by to nechat si ověřovat validitu serverem ISP a bezmezně mu věřit, že si hodnotu AD bitu nevymyslel.

Bezpečné DNS pak znamená mít rekurzivní resolver nejdále na domácí bráně (pro stabilní zařízení) a přímo na všech mobilních klientech.
oVirt | SPICE
pavlix avatar 16.12.2011 17:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: cenzura
Přesně tak, bez toho je to jedna velká lež. Ale podle mě je správnou cestou validace v koncových zařízeních kvůli případným útokům na lokální síť (samozřejmě to řeší jen část problému, ale tak to je v této oblasti vždy).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 16.12.2011 17:42 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: cenzura
Ona ta současná řešení DNSSECu jsou obvykle postavené tak, aby ta cenzura byla možná, tedy že věříte odpovědi nameserveru ISP. Takže je to spíš jeden velký podvod.

Jediný DNSSEC, který jakž takž uznávám, je ten, kdy kontrolující server je součástí infrastruktury zákazníka (například na localhostu přímo v telefonu).

Ani tak není DNSSEC kvůli své centralizaci všespásný, ale s kontrolou „na konci“ je to pořád o několik řádů lepší než současná kontrola pomocí rovnocenných certifikačních autorit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
16.12.2011 14:30 SAM: | skóre: 23 | blog: marsark_linux
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
Odpovědět | Sbalit | Link | Blokovat | Admin
Kdyby tak oznámila zavedení IPv6.
16.12.2011 14:51 cita
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
no to si pockame, polovicka jejich klicoveho hw ipv6 neumi : O
16.12.2011 15:18 linux
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
odkud máš tuto informaci?
pavlix avatar 16.12.2011 17:46 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
Anonymní zdroj? :)
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 16.12.2011 17:46 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
Kdyby tak oznámila zavedení IPv6.

Všechno má svůj čas :). A pokud vím, tak někdy v roce 2010 stihli splašit ještě nějaký větší rozsah do rezervy.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
16.12.2011 16:33 K
Rozbalit Rozbalit vše Re: Telefónica oznámila zavedení DNSSEC do svých systémů
Odpovědět | Sbalit | Link | Blokovat | Admin
Stejne nevim co z toho delate, dalsi PR masaz pro lamy co jineho. :/

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.