Necim podobnym trpel i exim. Kdysi nekdo napsal do nejakyho RFC, ze DNS packety nas 512B jsou nebezpecny a mely by se zahazovat. Kdo vy kdo vsechno se toho jeste drzi.
ESET Smart Security si neporadí s DNSSEC
31. 5. 2010 11:50
Adam Štrauch
Přechod na kompletně podepsané kořenové doménové servery je na dobré cestě a zdá se, že všechno jde dobře, nicméně se u některých zařízení a některého softwaru dají očekávat problémy. Jeden takový popsal Ondřej Surý na blogu blog.nic.cz. Najdete ho v programu ESET Smart Security. Ten velmi restriktivně kontroluje DNS požadavky a když obsahují informace k DNSSEC, zablokuje je. Podobných malých problémů se v budoucnu najde určitě ještě víc.
Dále čtěte…
- CZ.NIC vydal rozšíření DNSSEC Validator pro Google Chrome 18. 1. 2012 9:40
- Bezpečné domény s OpenDNSSEC 9. 1. 2012 0:00
- Telefónica oficiálně oznámila zavedení DNSSEC do svých systémů 16. 12. 2011 11:16
- 19 procent domén .CZ má DNSSEC 15. 12. 2011 10:57
- DNSSEC je nyní na 133 000 CZ domén 30. 6. 2011 15:11
aura:76
31. 5. 2010 17:38
Nový
Re: Security?
celé vláknoV původních RFC byla omezena maximální velikost DNS zprávy. Nic o nebezpečnosti větších paketů se tam neříkalo. Rozšíření DNS definované standardem EDNS0 toto omezení odstraňuje.
aura:37
31. 5. 2010 14:02
Nový
hehe
celé vláknoa rekl to nekdo esetu? protoze dokud jim to nikdo nerekne, tak to asi neopravi, ze..
aura:76
31. 5. 2010 17:36
Nový
Re: hehe
celé vláknoSi tak říkám, že přečíst si originální zdroj, by vám taky neuškodilo, že?
Nicméně je velmi pozitivní, a chtěl bych to zdůraznit, že výrobce ESET Smart Security přistoupil k problému velmi zodpovědně a proaktivně; nechal si zaslat blokující komunikaci a v některé z dalších verzí bude tato chyba odstraněna. Kéž by se takto chovali všichni výrobci zařízení, která pracují s DNS.
aura:37
31. 5. 2010 17:44
Nový
Re: hehe
celé vláknouskodilo. nezajma me natolik, abych ztracel cas jeho ctenim.
aura:76
31. 5. 2010 18:03
Nový
Re: hehe
celé vláknoAha. A napsáním dvou příspěvků, které po přečtení původního blogpostu ztrácejí smysl, do diskuze jste ztratil času méně… Úplně mi to dává smysl.
aura:37
Jakub Lohniský (ESET) (neregistrovaný)
195.39.96.---
31. 5. 2010 16:16
Nový
Vyjádření za ESET (ESET Smart Security a podpora DNSSEC)
celé vláknoK blokování komunikace dochází pouze v případě, kdy má uživatel nainstalován doplněk DNSSEC Validátor v prohlížeči Mozilla Firefox. U jiných prohlížečů nebo v případě používání Mozilla Firefox bez doplňku DNSSEC Validátor k blokování komunikace nedochází.
Doplněk DNSSEC Validátor kontroluje existenci a validitu DNSSEC DNS záznamů u doménového jména v adrese aktuálně prohlížené stránky. Jelikož podpora DNSSEC paketů není v současné verzi produktu ESET Smart Security dostupná, je tato komunikace (DNSSEC pakety) standardně blokována. Dochází tak k delšímu načítání stránek, které jsou doplňkem kontrolovány. Pro správnou funkčnost technologie DNSSEC v prohlížeči Mozilla Firefox je potřeba vložit DNS servery používané pro překlad jmen v doplňku DNSSEC Validátor do zóny označené jako „Adresy vyloučené z aktivní ochrany IDS” v nastavení personálního firewallu ESET Smart Security. Nejedná se tedy o chybu produktu. Podpora DNSSEC bude přidána do některé z dalších verzí modulu personálního firewallu. Tento modul se uživatelům aktualizuje automaticky.
aura:76
31. 5. 2010 18:10
Nový
Re: Vyjádření za ESET (ESET Smart Security a podpora DNSSEC)
celé vláknoDobrý den,
dovolím si Váš příspěvek trochu rozšířit. K blokování komunikace pravděpodobně bude docházet (soudím tak dle Vašeho vyjádření) u každé klientské DNS aplikace, která pracuje s DNSSECem. Může se tak jednat i o další aplikace jako jsou DNS resolvery Bind 9 a Unbound, ale také Microsoft DNS.
Každopádně cílem mého příspěvku nebylo poukázat na striktnost v implementaci ESET Smart Security, ale na případné obtíže, na které může uživatel narazit, pokud používá DNSSEC (a případně DNSSEC Validátor), a jak tyto potíže vyřešit. Doufám, že to z mého původního příspěvku bylo takto pochopeno. V žádném případě jsem neměl v úmyslu ESET pranýřovat, právě naopak.
S pozdravem,
Ondřej Surý.
