Gå til innhold

DNS-faren ikke over

abene

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Anders Jensen

Anders Jensen

Skrevet
Skrevet (endret)

Gleder meg til å se hva som kommer ut av DNSSEC prosjektet som Secure64 skal utføre. Jeg tror det virkelig kan forbedre Internett å få DNS servere som har gjennomført kvalitet og sikkerhet fra top til bunn.

 

Secure 64 DNS: http://www.secure64.com/products.shtml

DHS moves to strengthen domain name servers:

http://www.gcn.com/online/vol1_no1/46337-1.html

http://www.secure64.com/news/pr/2008/DHS_DNSSEC.shtml

 

Hadde vært kult om hw.no gjorde en dypere artikkel om emnet. Jeg har dessverre for lite peiling på DNS til å legge ut i det vide og brede.

 

Leftie: Det er ikke helt bak mål. DNS "ruter" jo klienten til riktig IP adresse forutsatt at klienten spurte etter et domene navn og ikke en IP adresse. Men DNS ruter ikke til noen fysisk destinasjon. Det har vi rutere til. :)

Endret av Anders Jensen
Lenke til kommentar
Leftie

Leftie

Skrevet
Skrevet
Leftie: Det er ikke helt bak mål. DNS "ruter" jo klienten til riktig IP adresse forutsatt at klienten spurte etter et domene navn og ikke en IP adresse. Men DNS ruter ikke til noen fysisk destinasjon. Det har vi rutere til. :)

 

Enig, det er derfor jeg nøyde meg med å kalle det misvisende. Det er rett og slett litt forvirrende ordbruk. Alle er enige om at en ruter ruter, og å si at en DNS også ruter da, gir et feil inntrykk. En DNS oversetter. Det er alt den gjør. Litt på samme måte som en telefonkatalog.

 

For øvrig er jeg også helt enig i at DNSSEC er et veldig spennende felt. Det er på høy tid at svakhetene i dagens DNS adresseres, og en litt teknisk artikkel om dette, hadde vært god lesing i sommer-"varmen" :)

Lenke til kommentar
arnizzz

arnizzz

Skrevet
Skrevet
For øvrig er jeg også helt enig i at DNSSEC er et veldig spennende felt. Det er på høy tid at svakhetene i dagens DNS adresseres, og en litt teknisk artikkel om dette, hadde vært god lesing i sommer-"varmen" :)

 

Nei vi må ha det slik som det er i dag. Jeg gidder ikke ekstraarbeid. Og glem ipv6.. NEKT

 

dessuten skal jeg bruk winxp i evig tid.

Lenke til kommentar
enixitan

enixitan

Skrevet
Skrevet
Sårbarheten skal ifølge Kamnsky ligge i prosessen som DNS-protokollen bruker til å kontrollere om en DNS-forespørsel er legitim eller ikke.

 

Eg hugsar ikkje kvar eg leste det, men eg har lest at feilen er i BIND-implementasjonen, og ikkje i DNS-protokollen. BIND er rett nok referanseimplementasjonen for DNS, så det er klart at det gjer problemet så stort, men PowerDNS har visstnok ikkje vore sårbar for problemet sidan 2006, og MaraDNS har aldri vore det (begge påstandane er frå respektive nettsider).

 

Eg forstår at ein MaraDNS-server kan få ei forgifta DNS-oppføring frå ein BIND-server når den vidaresender førespurnadar, og sende det vidare, men det er BIND-serverens feil, ikkje MaraDNS.

 

Er det andre som har lest dette?

Lenke til kommentar
icc

icc

Skrevet
Skrevet
Sårbarheten skal ifølge Kamnsky ligge i prosessen som DNS-protokollen bruker til å kontrollere om en DNS-forespørsel er legitim eller ikke.

 

Eg hugsar ikkje kvar eg leste det, men eg har lest at feilen er i BIND-implementasjonen, og ikkje i DNS-protokollen. BIND er rett nok referanseimplementasjonen for DNS, så det er klart at det gjer problemet så stort, men PowerDNS har visstnok ikkje vore sårbar for problemet sidan 2006, og MaraDNS har aldri vore det (begge påstandane er frå respektive nettsider).

 

Eg forstår at ein MaraDNS-server kan få ei forgifta DNS-oppføring frå ein BIND-server når den vidaresender førespurnadar, og sende det vidare, men det er BIND-serverens feil, ikkje MaraDNS.

 

Er det andre som har lest dette?

 

Akkurat, det er mye letter å lage sikre DNS-serversoftware som powerDNS siden de ikke tar seg av rekursive kall. At dns-protokollen er sikkerhetssvak er jo ikke akkurat noen nyhet, gamle protokoller er som regel det :roll: Hvorfor ikke bare lage en artikkel om arp-protokollen i samme slengen?

At BIND ikke har tatt tak i dette skyldes jo at de følger rettningslinjene for protokollen og hvis den skal endres så bør dette komme fra høyere hold.

Lenke til kommentar
enixitan

enixitan

Skrevet
Skrevet
Akkurat, det er mye letter å lage sikre DNS-serversoftware som powerDNS siden de ikke tar seg av rekursive kall.

 

Er ikkje poenget at mellomlageret (cache) til DNS-serveren er sårbart? Om eg køyrer MaraDNS på eit lokalnettverk lagar den seg òg eit mellomlager (med mindre eg skrur det av, og vidaresender alt til ekstern server), men slik det er implementert er ikkje MaraDNS' mellomlager sårbart, slik som BINDs er. MaraDNS kan jo gjere rekursive kall, så kva er skilnaden som gjer det enklare å sikre MaraDNS? (PowerDNS òg, men denne kjenner eg ikkje særleg til)

Lenke til kommentar
khaakon

khaakon

Skrevet
Skrevet (endret)

Øh, den ordboka du linket til fant jeg ikke noe videre ut av angående bruk av om/mot grammatisk, og jeg har ikke noen formell tyngde (utdannelse) for å mene det jeg gjør om formuleringen her. Men jeg tenker slik at ekspertene advarer om (at det har vært) flere angrep på dns-systemet, ikke mot (å gjøre/at det kommer) flere angrep. Evt. at de advarer mot ukritisk bruk (?) i forbindelse med at det har vært angrep, men det blir litt søkt for meg.

Jeg står på at i dette tilfellet advarer ekspertene om at det har vært angrep mot (det dette egentlig dreier seg om).

 

(Folk sier også: gjør sånn&sånn for forkjølelse, hodepine, virus, osv.osv. - mens de mener mot)

Endret av khaakon
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...