[GTER] Fwd: DNSCurve

Durval Menezes durval at tmp.com.br
Wed Sep 3 10:43:57 -03 2008


Alo Rubens,

On Tue, Sep 02, 2008 at 07:05:11PM -0300, Rubens Kuhl Jr. wrote:
[...]
> Você pode colocar IPs nas interfaces loopback ou como secundários na
> Ethernet e rodar diversos DNS na mesma máquina, com software diferente
> inclusive... eu aliás acho ruim rodar recursivo e autoritativo no
> mesmo IP, mesmo em instalações menores, mas YMMV.
> Não tenho porém nada contra rodar na mesma máquina.

Com certeza da' para fazer com varios IPs na mesma maquina e fica ate'
melhor. O problema e' a flexibilidade quando voce quer migrar uma
maquina que ja' roda BIND autoritativo/recursivo para o NSD/Unbound...
ate' da' para alocar mais um endereco  para colocar cada servico em um
IP diferente, mas o diabo e' o trabalho que isso da' (ou voce altera o
IP em todos os clientes que utilizam a parte recursiva, no caso de mover
o recursivo para o novo IP, ou voce altera o IP em todos os servidores
"slave" e na interface do "parent" para os subdominios delegados para os
quais o servidor em questao e' autoritativo, no caso ser este a ser
movido.  De uma forma ou de outra, da' uma mao-de-obra grande...

Ja' pensei em alterar o codigo do NSD e do Unbound para que o NSD, quando
receber uma query para o qual ele nao e' autoritativo, repassa-la em um 
pacote especial para um Unbound rodando em outro IP (ate' mesmo localhost
na propria maquina), o qual entao checaria ACLs e etc e faria uma resolucao
recursiva, devolvendo o resultado ao NSD que entao responderia com o dito
cujo diretamente ao cliente que fez a query original. Isso resolveria
o problema (a meu ver) de forma elegante.

> > Desde que algum dia saia uma implementacao para um DNSCurve server...
> > ate' agora o DJB nao "mostrou o codigo".
> 
> De repente o Wietse Venema escreve o dele antes do DJB... :-)

Pois e' :-) O problema e' que nem para o Curve25519 temos um reference
code usavel, o DJB resolveu escreve-lo (por boas e solidas razoes de
desempenho) em uma linguagem que ele mesmo inventou, o qhasm. Um abnegado
ja' reimplementou o Curve25519 em C (http://code.google.com/p/curve25519-donna/)
a partir do paper que o DJB escreveu sobre o algoritmo. Vamos ver quem
implementa o DNSCurve primeiro...

> > Neste particular, na minha opiniao nada ajudaria a difundir o DNSCurve
> > mais rapidamente do que a sua implementacao no BIND (se possivel com a
> > bencao da ISC, senao atraves de patches de terceiros): a enorme maioria
> > de servidores DNS atualmente roda BIND (da ultima vez que vi, mais de
> > 65% dos dominios era servida por BIND).
> 
> Patches para o BIND para Redhat/CentOS e Debian/Ubuntu já colocariam
> isso em grande parte das máquinas Linux do planeta com ou sem benção
> da ISC...

Concordo, mas teria de haver um bom "marketing" para a  turma da Redhat
e do Debian colocarem um patch desses no BIND das suas distribuicoes a
despeito da ISC; que eu saiba, nada parecido ocorreu ate' hoje. Quanto ao
CentOS/Ubuntu, nao acredito que eles venham a fazer isso independentemente
dos seus respectivos upstream, de forma que o melhor caminho para uma
difusao rapida seria realmente a coisa ser implantada (1) pela ISC, ou
(2) pela Redhat/Debian (neste caso, quem sabe submetendo atraves do
Fedora primeiro...).

> já na Microsoft, ou ela embarca no DNS Service para Windows
> Server e para o cliente embutido no XP/Vista, ou isso demorará mais
> anos que o DNSSEC...

A Microsoft nao prima exatamente por disponibilizar features de seguranca
nos seus produtos a tempo e a hora... :-) normalmente so' o faz quando e'
obrigada a tal pelas circunstancias. acho que algo como isso so' ocorreria
depois do DNSCurve estar largamente implantado no mundo *ix, e entao
ocorrendo um ataque em larga escala (com ampla cobertura pela midia) que
demonstrasse que os sistemas Windows ficaram para tras e estariam vulneraveis.
Provavelmente vai ser de forma parecida que a coisa vai acabar acontecendo.

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)


> 
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list