Vlákno názorů ke zprávičce Google měl ve střední Evropě výpadek, pravděpodobně šlo o chybu routování (aktualizováno) od Ondřej Surý - Upřimně bych radu použít OpenDNS, které nepodporuje DNSSEC...
-
Upřimně bych radu použít OpenDNS, které nepodporuje DNSSEC (narozdíl od Google PDNS), tady nečekal. Pokud opravdu máte potřebu sdílet svá DNS data se třetí stranou, tak bych z těch větších raději použil Verisign Public DNS (https://www.verisign.com/en_US/security-services/public-dns/index.xhtml).
Ale upřimně je nejjednodušší[*] si na localhostu nahodil vlastní validující DNS resolver.
* - pokud zrovna nejste na hotelové taky-"wifi"
-
Ondřej CaletkaZlatý podporovatelMáte menší pravděpodobnost, že jeho DNS cache bude otrávená. Otevřené rekurzivní nameservery jsou k takovému otrávení velmi náchylné.
-
Ondřej CaletkaZlatý podporovatel
A vy znáte libovolnou technologii, která garantuje nulovou pravděpodobnost úspěšného útoku?
Dokážete pochopit rozdíl mezi změnou jedné konkrétní odpovědi a otrávením cache rekurzivního serveru?
To, že některý ze serverů po cestě data validuje nemůže kvalitu dat zhoršit, naopak. -
Skeptik (neregistrovaný)
Úplně nulovou pravděpodobnost garantuje jen odpojení od sítě (což z druhé strany může být bráno jako úspěšný útok DoS), ale limitně nulovou třeba správně implementovaná kryptografie na přenosové vrstvě (např. TLS) která stejně je potřeba i pokud by perfektně fungovalo DNSSSEC.
Proti otrávení cache rekurzivního serveru existují mnohem jednodušší obrany než DNSSEC, to je v tomto případě kanón na vrabce.
A rozhodně nesouhlasím s vaší poslední větou - pokud se některý ze serverů po cestě rozhodně implementovat DNSSEC tak je přeci mnohem jednodušší mu přetížit CPU! Z tohoto důvodu považuji všechny otevřené resolvery které podporují DNSSEC za nespolehlivé, stačí jim poslat dostatek dotazů na domény zabezpečené DNSSEC (klidně pomocí UDP paketů s podvrženými zdrojovými adresami) a koukat co to s nimi udělá...
-
Ondřej CaletkaZlatý podporovatel
Proti otrávení cache rekurzivního serveru existují mnohem jednodušší obrany než DNSSEC, to je v tomto případě kanón na vrabce.
Zřejmě víte něco víc než my ostatní, dokonce i víc než Dan Kaminsky. Tak se podělte s námi.
Z tohoto důvodu považuji všechny otevřené resolvery které podporují DNSSEC za nespolehlivé, stačí jim poslat dostatek dotazů na domény zabezpečené DNSSEC (klidně pomocí UDP paketů s podvrženými zdrojovými adresami) a koukat co to s nimi udělá...
Zkuste to někdy a vraťte se zpátky, až se vám něco takového povede.
-
Kolemjdoucí (neregistrovaný)
V době kdy Dan Kaminsky publikoval svůj objev tak tento útok skutečně fungoval, ale zveřejnění způsobilo vyvinutí jednoduché obrany spočívající v randomizaci zdrojových portů UDP paketů a ignorování přibalených informací o nameserverech (které jsou v rozporu s tím co už je v cache) v odpovědích, což snižuje pravděpodobnost úspěchu tohoto útoku prakticky na nulu.
-
ivoszz (neregistrovaný)
To jsou zase moudrosti.
Denodenně děláte kompromisy ohledně bezpečnosti v reálném životě, ale pro IT žádné kompromisy neplatí.Pokud to myslíte doopravdy, navrhuji nechat přístě vchodové dveře dokořán otevřené, na co kompromisy, žádný zámek neodolá a i sebelepší zabezpečení dveří lze překonat. Jsem zvědav, jak dlouho na ten "falešný" pocit bezpečí ještě dáte....
