[GTER] RES: Novas regras para os Domínios

Rubens Kuhl rubensk at gmail.com
Mon Jan 16 10:54:28 -02 2012


>> O problema é quando algum dispositivo nomádico, como um
>> notebook/tablet/smartphone, sai do perímetro da empresa e é conectado
>> a uma rede pública. Nesse momento ele fará uma requisição para esse
>> TLD inválido que na melhor das hipóteses vai consumir recursos de
>> recursivos e root-servers, e na pior das hipóteses vai permitir que
>> alguém configure uma resposta indesejada (por exemplo proxy.localnet
>> apontar para um grande bisbilhotador).
>
>
> Motivo pelo qual precisamos ter todos estes domínios devidamente listados
> via RFC, porque é altamente recomendável proteger todos eles (via zona
> autoritativa vazia) diretamente nos recursivos que atendem os usuários.

Eu acho importante ter esses domínios listados em RFC, mas não sei se
deveríamos colocar recursivos como autoridade desses domínios.

> Assim, usuário com máquina nomádica mal configurada recebe um NXDOMAIN do
> seu recursivo e não fica vulnerável a toda uma classe de ataques.

O problema é que NXDOMAIN em ambiente DNSSEC requer uma assinatura
válida vinda da cadeia de confiança....



Rubens



More information about the gter mailing list