[GTER] RES: Novas regras para os Domínios
Rubens Kuhl
rubensk at gmail.com
Mon Jan 16 10:54:28 -02 2012
>> O problema é quando algum dispositivo nomádico, como um
>> notebook/tablet/smartphone, sai do perímetro da empresa e é conectado
>> a uma rede pública. Nesse momento ele fará uma requisição para esse
>> TLD inválido que na melhor das hipóteses vai consumir recursos de
>> recursivos e root-servers, e na pior das hipóteses vai permitir que
>> alguém configure uma resposta indesejada (por exemplo proxy.localnet
>> apontar para um grande bisbilhotador).
>
>
> Motivo pelo qual precisamos ter todos estes domínios devidamente listados
> via RFC, porque é altamente recomendável proteger todos eles (via zona
> autoritativa vazia) diretamente nos recursivos que atendem os usuários.
Eu acho importante ter esses domínios listados em RFC, mas não sei se
deveríamos colocar recursivos como autoridade desses domínios.
> Assim, usuário com máquina nomádica mal configurada recebe um NXDOMAIN do
> seu recursivo e não fica vulnerável a toda uma classe de ataques.
O problema é que NXDOMAIN em ambiente DNSSEC requer uma assinatura
válida vinda da cadeia de confiança....
Rubens
More information about the gter
mailing list