[GTER] DNS zone transfers X "caching" local

[Jeronimo Zucco]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

	Essa medida inclusive evitaria ataques de DNS spoofing. Seus argumentos
estão corretos.
	Em contrapartida, a seguranca ira ter mais pontos a serem verificados.
Ou seja, se sai um bug do bind, todos os servidores deverao ser
atualizados, para evitar pontos de ataque.


- --
Jeronimo Zucco
LPIC-1 Linux Professional Institute Certified
Certificado Conectiva Linux
Núcleo de Processamento de Dados
Universidade de Caxias do Sul

"Talk is cheap, show me the code" - Linus Torvalds


MARLON BORBA wrote:
| Srs.,
|
| Aqui na Justiça Federal "rolou" há tempos uma discussão a respeito da
troca de informações sobre as zonas das nossas Intranets (jfms.gov.br,
jfsp.gov.br e trf3.gov.br). Defendi a tese de que as três Justiças devem
ter servidores "masters" das respectivas zonas e "slaves" das demais. Um
outro administrador sustenta a tese de que não é necessário fazer "zone
transfers" e que "caching" da resolução na primeira vez que um cliente
faz uma consulta é o bastante. Contra-argumentei pelos "zone transfers"
com os seguintes fatos:
| (i) devido ao TTL das entradas nas "caches" locais uma alteração feita
numa das zonas pode levar horas para refletir-se
| (ii) para que o administrador dar "flush" no "cache" local, se a
transferência de zonas pode ser feita logo após a alteração e caso
executada corretamente mantém a atualização dos dados de forma automática?
| (iii) alterando-se a cada mudança o "serial number" e se for o caso
reduzindo-se o TTL dos registros garante-se a atualização rápida
|
| O que acham?
|
|
|
| Abraços,
|
| Marlon Borba, CISSP.
|
| --
| GTER list    https://eng.registro.br/mailman/listinfo/gter

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFCAm16TCq0VJ4DIPwRAtsXAKCnMizuF7V/FQL7zIvb7CU9cAJgRwCg2cmR
9MAjAr+AEfQqEE6YPSkPY1k=
=no7L
-----END PGP SIGNATURE-----