Vlákno názorů k článku Na návštěvě v IPv6 laboratoři: jste kompatibilní? od trex - Stalo by za to napsat neco o DNS64/NAT64...
-
Ondřej CaletkaZlatý podporovatelZ hlediska kompatibility DNS64 a DNSSEC se to má tak, že buď:
a) bude DNS64 provádět přímo validující resolver na koncové stanici až po validaci (otázka je však, jak získá místní prefix pro mapování IPv4 adres).
nebo
b) bude DNS64 provádět místní DNS server až po validaci a k němu budou koncové stanice připojeny zabezpečeným kanálem. Koncová aplikace se tak spolehne na důvěryhodnost místního DNS serveru a bude pracovat pouze s AD flagem. -
trex (neregistrovaný)
a) je rekl bych ve velkych sitich nepouzitelne, kdyz je snahou nasadit to plosne pro celou sit heterogennich klientu,
b) nejaky navod jak toho docilit resp. nejake delsi povidani, jak by ta konfigurace mela vypadat, aby se DNS64 provadelo az po validaci (predpokladejme, ze LAN je zabezpecena)? Diky -
Radek Hladik (neregistrovaný)
Naopak jste to pochopil naprosto přesně. DNSSEC a DNS64 jsou z principu nekompatibilní technologie - DNSSEC se snaží zabránit změně DNS záznamů na cestě mezi serverem a klientem , DNS64 pracuje na principu takovéto změny. Protože se v případě DNS64 jedná o "dočasný" mechanismus, tak se to moc neřeší a jsou možné ony dvě zmíněné varianty. Buď udělat na klientovi nejprve DNSSEC a pak DNS64, nebo "přesunout" DNSSEC klienta na DNS64 router a spoléhat se na to, že spojení mezi DNS64 routerem a opravdovým klientem je zabezpečeno jinak (=většinou nijak).
Laicky řečeno, nemůžete chtít vyplnit bianco šek v zapečetěné obálce bez toho, aniž by se pečeť rozbila :-) -
Radek Hladik (neregistrovaný)
Tato varianta vyžaduje dát si pozor na tři věci.
1) vůbec nebrání útoku z vnitřní sítě, což ve chvíli, kdy jsou všechny stroje dosažitelné z vnější sítě může být docela problém - tzn. je potřeba mít opravdu dobře nastavený firewall a všechny povolené vnitřní služby musí být dobře zabezpečené...
2) je potřeba hlídat, aby nepřišla nějaká DNS odpověď mimo resolver s AD flagem nastaveným
3) Administrativně je potřeba dát si pozor na to, že uživatel může získat "pocit bezpečí" , který není adekvátní úrovni zabezpečení. Tedy uživatel si není vědom 1) a 2) a přesto mu tam svítí zelené něco, co mu říka: "Vše je ok, je to zabezpečené"
