[GTER] Dúvidas sobre DNS
Ricardo Rodrigues
rcr.listas at ig.com.br
Wed Mar 18 17:07:28 -03 2015
Entendo as boas intenções mas vejo alguns entraves.
Quem provê o serviço DNS recursivo tem GIGANTESCA responsabilidade sobre os
endereços IP que responde aos seus usuários. Se eu administro meu
recursivo, eu sei que tomei todas as medidas para não ser vítima de um
envenenamento. Se eu delego esta responsabilidade a outrém, fico dependendo
das ações deste outrém.
Adicionalmente, endossando as palavras do Danton, seu servidor pode ser
usado como um vetor de amplificação contra um usuário de outro provedor que
também esteja usando este recursivo alternativo.
Em suma: cuidado para você não montar um "mata-mosca útil à comunidade" e
acabar construindo um "canhão para ser usado por bandido". :-)
Abs,
RR
Em 18 de março de 2015 12:22, Giovane Heleno <webgeo at gmail.com> escreveu:
> Mas a ideia não é deixar aberto a todo mundo.
> E sim somente aos participantes do projeto.
>
>
>
> Giovane Heleno
> www.giovane.pro.br
> www.isptools.com.br
>
>
> Em 18 de março de 2015 11:26, Danton Nunes <danton.nunes at inexo.com.br>
> escreveu:
>
> > On Wed, 18 Mar 2015, Giovane Heleno wrote:
> >
> > Senhores,
> >>
> >> Vendo os problemas, soluções, reclamações, idéias e afins nesta thread,
> >> pergunto-lhes...
> >>
> >> Um servidor DNS com modelo de distribuição e apoio dos participantes do
> >> ISP
> >> Tools... o que acham?
> >> Como alternativa ao 8.8.8.8 e afins... seria uma boa pra todos nós? Ou
> >> seria uma utopia?
> >>
> >
> > considerando que há root servers aos montes, não vejo qual é a
> dificuldade
> > de cada provedor e cada rede corporativa prover serviço de DNS recursivo
> > aos seus clientes. o gerenciamento do 8.8.8.8 é complicado. ele já foi
> (não
> > duvido que ainda seja) usado como amplificador de ataques baseados em UDP
> > com remetente falso.
> >
> > Basicamente uma VM com um DNS server (Unbound por exemplo) e BGP
> >> anunciando
> >> ip em anycast.
> >> Podemos centralizar o gerenciamento no ISP Tools.
> >>
> >
> > e está pronta uma máquina de amplificar ataques. Unbound só deve ser
> usado
> > por um conjunto pequeno e bem administrado de usuários, tipicamente seus
> > clientes ou os clientes de tua rede local. e COMPLETAMENTE BLOQUEADO
> (sim,
> > gritando) para qualquer outro.
> >
> > -- Danton
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list