[GTER] Fwd: DNSCurve
Rubens Kuhl Jr.
rubensk at gmail.com
Wed Sep 3 13:00:47 -03 2008
> Com certeza da' para fazer com varios IPs na mesma maquina e fica ate'
> melhor. O problema e' a flexibilidade quando voce quer migrar uma
> maquina que ja' roda BIND autoritativo/recursivo para o NSD/Unbound...
> ate' da' para alocar mais um endereco para colocar cada servico em um
> IP diferente, mas o diabo e' o trabalho que isso da' (ou voce altera o
> IP em todos os clientes que utilizam a parte recursiva, no caso de mover
> o recursivo para o novo IP, ou voce altera o IP em todos os servidores
> "slave" e na interface do "parent" para os subdominios delegados para os
> quais o servidor em questao e' autoritativo, no caso ser este a ser
> movido. De uma forma ou de outra, da' uma mao-de-obra grande...
Alterar nos slave e parents não deveria ser difícil, pois se tratam de
poucas entradas, e não de vários resolvers... eu ainda sinto que uma
correta organização de DNS vai sempre permitir que isso funcione.
> Ja' pensei em alterar o codigo do NSD e do Unbound para que o NSD, quando
> receber uma query para o qual ele nao e' autoritativo, repassa-la em um
> pacote especial para um Unbound rodando em outro IP (ate' mesmo localhost
> na propria maquina), o qual entao checaria ACLs e etc e faria uma resolucao
> recursiva, devolvendo o resultado ao NSD que entao responderia com o dito
> cujo diretamente ao cliente que fez a query original. Isso resolveria
> o problema (a meu ver) de forma elegante.
Não precisa alterar o código, o Unbound tem stub-zone/stub-addr, que
pode ser usado para redirecionar a resolução para um DNS em outra IP
ou porta. Se você combinar com um DNAT para IPs externos usarem a
porta alternativa do NSD, dá para manter o mesmo IP com resolução
externa somente autoritativa e resolução interna recursiva.
> Pois e' :-) O problema e' que nem para o Curve25519 temos um reference
> code usavel, o DJB resolveu escreve-lo (por boas e solidas razoes de
> desempenho) em uma linguagem que ele mesmo inventou, o qhasm. Um abnegado
> ja' reimplementou o Curve25519 em C (http://code.google.com/p/curve25519-donna/)
> a partir do paper que o DJB escreveu sobre o algoritmo. Vamos ver quem
> implementa o DNSCurve primeiro...
Esse é o tipo de função de biblioteca para escrever em ASM e
fortemente otimizada a recursos dos processadores... a referência C é
um bom ponto de partida, certamente.
> A Microsoft nao prima exatamente por disponibilizar features de seguranca
> nos seus produtos a tempo e a hora... :-) normalmente so' o faz quando e'
> obrigada a tal pelas circunstancias. acho que algo como isso so' ocorreria
> depois do DNSCurve estar largamente implantado no mundo *ix, e entao
> ocorrendo um ataque em larga escala (com ampla cobertura pela midia) que
> demonstrasse que os sistemas Windows ficaram para tras e estariam vulneraveis.
> Provavelmente vai ser de forma parecida que a coisa vai acabar acontecendo.
No caso eu estava apostando em uma maior cooperação do lado online da
Microsoft (assinando com DNS-Curve os servidores DNS de msn.com,
hotmail.com, microsoft.com etc.) e que esse pessoal fizesse uma
campanha interna com o lado sistemas operacionais para implementar
logo... talvez seja muito otimismo, mas... "I Want to Believe".
Rubens
More information about the gter
mailing list