Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: xsouku04 23. 04. 2024, 17:28:37
-
Mám 9 fyzických serverů, každý má svoje jméno pod kterým se eviduje a má také veřejnou adresu. Nabízí se použití domény, která by ukazovala na ip adresu serveru. Ale napadá mne, jestli není nebezpečné někde takto vyjmenovat všechny veřejné ip adresy serverů. Je možné aby někdo zjistit, jaké existují subdomény (a k ním ip adresy) k dané doméně jinak než pokusem a omylem? Je používání domén z pohodlnosti bezpečné? Existuje nějak u nějaké domény zjistit všechny subdomény?
-
Hocikto kto monitoruje DNS hned zisti tvoje IP adresy. Mozes pouzit CloudFlare alebo vlastnu proxy a mat tak vonku iba jednu IP za ktorou skryjes tie servery. Len jasne ze ta proxina potom spomali spojenie, ak tam nehodis niekolko proxin cez nejaky geo dns alebo anycast.
-
Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. Nebo se také bojím člověka co si nějakou službu vyhlídne zkoumá možné zranitelnosti. Ten ale celkem jistě nebude schopen odchytávat můj vlastní dns provoz, nebo provoz všech zákazníků.
Nebylo by možné mít vlastní DNS server, který bych nastavil na počítačích na kterých pracuji jako třeba třetí v pořadí?
A ten by našel záznam jen když veřejné servery nic najít nedovedou? Ten neveřejný DNS server by mohl být chráněn firewalem jen pro přístup z jistých ip adres + VPN. Takto by možná šlo vytvořit celý nový doménový neveřejný prostor.
-
DNS bylo vytvořeno proto, aby se používalo. I kdybyste zveřejnil IPv4 adresy serverů, žádné bezpečnostní riziko to není – ty IPv4 adresy totiž už zná každý, kdo je chce znát. IPv4 adres je tak málo, že není problém proskenovat celý adresní prostor. IPv6 je něco jiného, ale i tak platí, že pokud by samotná znalost IP adresy představovala bezpečnostní riziko, bylo by něco hodně špatně.
Když vytvoříte DNS záznamy v nějaké doméně, nikdo o nich nemusí vědět. Nemusíte umožňovat vypsat obsah domény. Pak to záleží jen na vás, zda doménové jméno zveřejníte. Obvyklý „únik“ doménového jména je vystavení důvěryhodného certifikátu, který musí být zaregistrován v CT listu. Úniku DNS názvu se dá v takovém případě zabránit tak, že necháte vystavit hvězdičkový certifikát.
Monitorování DNS provozu ze strany ISP můžete předejít tak, že budete používat třeba DNS-over-HTTPS. Akorát teda váš ISP stejně bude vědět, s jakými IP adresami komunikujete, takže z hlediska utajení těch IP adres je to stejně jedno.
Za Cloudflare můžete schovat HTTPS server, ale SSH server za to neschováte.
-
Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. ...
Ten clovek ale neresi dns, ten clovek (a jsou jich stovky tisic) scanuje IPcka vis? Je to to totiz specielne na v4 o nejake ty rady efektivnejsi. A navic tak najde stroje, ktere zadne dns nemaji.
Jmena muzes napsat treba taky do hosts, a zadne dns resit nemusis, jen pak musis udrzovat aktualni ten hosts a to na vsech klientech. A prave proto bylo vymysleno dns.
... který musí být zaregistrován v CT listu...
Nemusi, to je jen dalsi smirovaci mechanika soudruhu z google. A daleko jednodussi je vyuzit dnssec. Protoze to praskne i domeny, na ktere zadny certifikat neni.
-
Tady jsem našel článek na tohle téma. https://news.gandi.net/en/2022/01/how-do-i-find-all-the-subdomains-of-a-domain-name/
Ve zkratce, snadno zjistit všechny subdomény lze jen pokud je na dns povoleno zone trasfer.
Otestovat to lze pomocí host -a -l example.com .
Normálně to povolené není a lze to snadno otestovat.
Kdyby to bylo jednoduché, pořád by připadalo v úvahu mít vlastní neveřejný DNS server, který by navíc mohl resolvovat domény, které nejsou určené pro veřejnost, např. jména lidí na neveřejné ip adresy ve vpn a podobně.
-
...
No vidis a prave to neni pravda. Pokud server/domena pouziva puvodni dnssec a takovych budou hromady, tak se da cela domena a vsechny jeji zaznamy projit prave s vyuzitim toho. Zone transfer na to vubec nepotrebujes. Ackoli i takovych serveru ktere ho maji povolen zcela do sveta najdes spousty.
Samozrejme dalsi aspekt spociva v tom, ze znacnou cast domen obsluhuji registratori, tech je omezene, a uniky dat nejsou nic vzacneho.
Ale porad je to uplne jedno, protoze pokud je libovolna sluzba dostupna, tak bude behem asi tak 5 - 60 minut nalezena. 5 plati pro proflaknute jako treba http nebo ssh. A je to spis horni hranice casu, kdy prijde prvni pokus o login. Takze mnohonasobne driv, nez se treba windows stihnou patchnou.
-
... který musí být zaregistrován v CT listu...
Nemusi, to je jen dalsi smirovaci mechanika soudruhu z google.
Musí. Prohlížeče neakceptují certifikáty, které nejsou na CT listech. A uznávané certifikační autority vám certifikát na doménové jméno, který nebude na CT listu, nevydají. Jinak by CT listy neměly smysl.
Google je ten poslední, kdo by CT list potřeboval, aby se dozvěděl o nějaké doméně.
No vidis a prave to neni pravda. Pokud server/domena pouziva puvodni dnssec a takovych budou hromady, tak se da cela domena a vsechny jeji zaznamy projit prave s vyuzitim toho.
Pravda není to, co píšete vy. Projít celou zónu můžete jen tehdy, pokud ta zóna používá NSEC. Už 15 let tu ale máme NSEC3, který enumeraci brání.
-
... který musí být zaregistrován v CT listu...
Nemusi, to je jen dalsi smirovaci mechanika soudruhu z google.
Musí. Prohlížeče neakceptují certifikáty, které nejsou na CT listech. A uznávané certifikační autority vám certifikát na doménové jméno, který nebude na CT listu, nevydají. Jinak by CT listy neměly smysl.
Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.
Jesteze FF tohle neimplementuje. U googlu je uzitek jasny - potrebuji mit absolutni prehled ktere domeny navstevujete kdyz uz mate rozum a nepouzivate jejich dns.
Za me je CT obrovska bezpecnostni dira, leakujici informace o chovani uzivatele.
-
Je používání domén z pohodlnosti bezpečné?
Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?
-
Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu.
To by se na tom musely shodnout státní autority, protože ty pak můžou donutit vývojáře/firmy ve svých zemích použít X jako jediný povolený způsob a zahodit roky práce předtím. Jinak to roste organicky, kdy "máme nějaký komplexní systém, ten něco neumí, tak to k němu přilepíme" je prostě pro jednotlivé aktéry mnohem jednodušší, než se snažit přesvědčit ostatní o skvělém novém (nekompatibilním) standardu (https://xkcd.com/927/).
Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?
Tak to začalo. Teď se DNS používá na další věci, které by bez něj udělat nešly, jako třeba více různých webserverů na jedné ip adrese, jen s různou doménou (a tím pádem je menší tlak na vlastnictví ip adresy).
-
Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.
Vůbec netušíte, která bije. Funkční revokační protokoly existují. CT ale neslouží k revokaci, nýbrž pro zjištění, že byl vydán nějaký certifikát neoprávněně. Chyba nemusí nastat jen u CA, daleko pravděpodobnější je, že nastane někde na straně držitele doménového jména. Každopádně i v případě chyby CA se o té chybě nejprve musíte dozvědět – a k tomu právě slouží CT list.
U googlu je uzitek jasny - potrebuji mit absolutni prehled ktere domeny navstevujete kdyz uz mate rozum a nepouzivate jejich dns.
Jenže z CT se nijak nedozvíte, jaké domény uživatel navštěvuje.
Za me je CT obrovska bezpecnostni dira, leakujici informace o chovani uzivatele.
Vzhledem k tomu, že vůbec netušíte, co CT je, k čemu se používá a jak funguje, tak je celkem jedno, co si o tom myslíte.
-
...
Musí. Prohlížeče neakceptují certifikáty, které nejsou na CT listech. ...
Kdybys Jirsaku vecne neblabolil ... prohlizec se koukne zda ma v seznamu duveryhodnych cert nebo jeho matinku, a nejaky seznam je mu u rite. A kazdej svepravnej clovek ma posilani a dotazovani na tuhle volovinu i primo vypnutou.
... Už 15 let tu ale máme NSEC3, který enumeraci brání.
Coz je nejvetsi blabol za dobu existence roota ktery se tu vyskyt.
-
Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?
To se ovsem pletes velice zasadne. DNS ti umoznuje nabizet ruzne IP ruznym tazatelum, treba podle jejich lokality. Nebo take tech IP muzes nabizet vice, treba kvuli potencielnim vypadkum. A pak taky nemusis resit jak miliarde klientum sdelis zmenu te IP, treba proto ze si server prestehoval o dum vedle ...
O tom co si kdo pamatuje to vubec neni.
-
...
Vůbec netušíte, která bije. ...
Pise ten, ktery nema paru ....
Nic takoveho nikdy nefungovalo, mam certifikaty vydane na stejnou domenu ruznymi autoritami. Nikomu a nicemu to nevadi. Asi zazrak.
-
Kdybys Jirsaku vecne neblabolil ... prohlizec se koukne zda ma v seznamu duveryhodnych cert nebo jeho matinku, a nejaky seznam je mu u rite. A kazdej svepravnej clovek ma posilani a dotazovani na tuhle volovinu i primo vypnutou.
Není to tak, pravdu má Filip. Prohlížeče dnes testují, jestli je součástí komunikace i podpis SCT, tedy potvrzení o zveřejnění certifikátu v CT. Bez toho je certifikát nedůvěryhodný, stejně jako by byl od neznámé autority nebo byl mimo čas platnosti. Na Rootu je několik článků, které to celé popisují. Například Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné
(https://www.root.cz/clanky/certificate-transparency-je-tu-vsechny-https-certifikaty-museji-byt-verejne/)
-
Mám 9 fyzických serverů, každý má svoje jméno pod kterým se eviduje a má také veřejnou adresu. Nabízí se použití domény, která by ukazovala na ip adresu serveru. Ale napadá mne, jestli není nebezpečné někde takto vyjmenovat všechny veřejné ip adresy serverů.
Krátce: ne. Pokud máte veřejné IPv4 adresy, útočníci je dávno skenují a testují, protože prostě skenují všechny.
Je možné aby někdo zjistit, jaké existují subdomény (a k ním ip adresy) k dané doméně jinak než pokusem a omylem?
Samotný pokus a omyl je překvapivě účinná metoda, vzhledem k tomu, že subdomény bývají slovníková slova.
Dále, jak bylo řečeno, může DNS server povolovat přenos zóny, může používat DNSSEC v (preferované) variantě NSEC, kdy jako vedlejší efekt vyzradí informace o všech jménech v zóně. Při použití NSEC3 se subdomény opět dají uhodnout hrubou silou, tentokrát ale z velké části offline. Nějaký odepsaný hardware na těžení bitcoinů vám vytěží NSEC3 zónu za pár sekund nebo minut i v případě, že nepůjde o slovníková slova.
Je používání domén z pohodlnosti bezpečné? Existuje nějak u nějaké domény zjistit všechny subdomény?
Ano a ano.
Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. Nebo se také bojím člověka co si nějakou službu vyhlídne zkoumá možné zranitelnosti. Ten ale celkem jistě nebude schopen odchytávat můj vlastní dns provoz, nebo provoz všech zákazníků.
Takový člověk (nebo spíš stroj) se neobtěžuje s DNS a skenuje rovnou IP adresy.
Nebylo by možné mít vlastní DNS server, který bych nastavil na počítačích na kterých pracuji jako třeba třetí v pořadí?
A ten by našel záznam jen když veřejné servery nic najít nedovedou?
Nebylo. Protokol DNS nepodporuje různé názory různých serverů. První finální odpověď platí. Pokud první server odpoví, že doménové jméno neexistuje, tak prostě neexistuje a není důvod ptát se dalších serverů.
Ten neveřejný DNS server by mohl být chráněn firewalem jen pro přístup z jistých ip adres + VPN. Takto by možná šlo vytvořit celý nový doménový neveřejný prostor.
Ano, pokud rád věci komplikujete, můžete si zaregistrovat veřejné doménové jméno, které nadelegujete na autoritativní servery za firewallem. Takže k datům uvnitř dané zóny se dostanou jen resolvery, kterým to na firewallu povolíte. Pak bude fungovat i výše uvedená myšlenka s třetím resolverem. Ostatní resolvery totiž budou hlásit chybu SERVFAIL, což povede klienta ke zkoušení dalších resolverů až narazí na ten jeden povolený. Může to ale trvat poměrně dlouho.
-
Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?
To se ovsem pletes velice zasadne. DNS ti umoznuje nabizet ruzne IP ruznym tazatelum, treba podle jejich lokality. Nebo take tech IP muzes nabizet vice, treba kvuli potencielnim vypadkum. A pak taky nemusis resit jak miliarde klientum sdelis zmenu te IP, treba proto ze si server prestehoval o dum vedle ...
O tom co si kdo pamatuje to vubec neni.
To co kolega popsal byl prapůvodní účel a má plnou pravdu. Samozřejmě se zjistilo, že DNS lze "zneužít" k jiným věcem a tím se ten svět sesložitil. Ve své podstatě pořád jen vrací IP adresu pro navázaní spojení, rozšíření v jednoduchosti je v tom, že tam nemusí být statické mapování, ale podmíněné.
-
Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.
Jak zjistíte, že je nějaká CA kompromitovaná, když nemůžete sledovat, jaké certifikáty vydala (například pomocí CT logu)?
Za me je CT obrovska bezpecnostni dira, leakujici informace o chovani uzivatele.
Jak CT způsobuje leakování informací o chování uživatele? Myslel jsem, že CT autorita vydá potvrzení o přidání do logu, a to se přilepí k certifikátu, a posílá se s ním. Uživatel nikam dál nekomunikuje. Nepletete si to s OCSP v případě vypnutého staplingu?
Nic takoveho nikdy nefungovalo, mam certifikaty vydane na stejnou domenu ruznymi autoritami. Nikomu a nicemu to nevadi. Asi zazrak.
Nechápu. On tu někdo tvrdil, že by mělo CT nějak bránit tomu, abych si vydal na stejnou doménu více certifikátů?
-
Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.
Jak zjistíte, že je nějaká CA kompromitovaná, když nemůžete sledovat, jaké certifikáty vydala (například pomocí CT logu)?
A jak zjistite, zda neni nejaky CT provider kompromitovanej?
Tohle je porad stejny systemovy fail jako slavne 2FA.
Namisto reseni se vymysleji porad nejake pseudoreseni a zaplaty na problemy, kdy nekdo neco nedomyslel.
Cim dal tim vice to speje do faze "ja bych vsechny ty internety zakazala", protoze divat se na tu marnost je tezsi a tezsi.
-
A jak zjistite, zda neni nejaky CT provider kompromitovanej?
Vážně by bylo lepší, kdybyste si nejdřív zjistil, co to je a jak to funguje, a až pak to komentoval.
-
Nic takoveho nikdy nefungovalo, mam certifikaty vydane na stejnou domenu ruznymi autoritami. Nikomu a nicemu to nevadi. Asi zazrak.
Žádný zázrak. Jenom je potřeba vědět, co je CT a k čemu slouží. CT je seznam, na který musí každá certifikační autorita umístit certifikát, pokud má být považován za důvěryhodný v prohlížečích. Resp. takových důvěryhodných seznamů je více a prohlížeče vyžadují, aby byl certifikát zveřejněn alespoň na určitém počtu z nich. (Což řeší námitku RDa – nestačilo by kompromitovat jeden CT list, ale všechny).
Při vložení do CT dostane CA značku, kterou připojí k vydanému certifikátu. Takže prohlížeč se pak neptá žádného CT, ale kontroluje, zda je v certifikátu ona značka. (Navíc CT je jen zabezpečený seznam, není tam žádná čteví služba – takže i kdyby se prohlížeč chtěl dívat na CT list, bude mít někde u sebe kopii a do té se bude dotazovat. Provozovatl CT listu se tedy nedozví, kdo co navštěvuje.)
CT slouží jen ke kontrole, jaké certifikáty byly vydány. Nebrání to vydání nějakého certifikátu, jak si mylně myslel jirsk. Je na držiteli domény, aby si pravidelně CT skenoval, zda tam nejsou z jeho domény vydané certifikáty, které by vydány být neměly. Pokud chcete omezit, která CA může vydávat certifikáty z vaší domény, použijte CAA DNS záznam. Funguje to samozřejmě jen na autority, které se jím řídí – ale to jsou všechny, které jsou považované za důvěryhodné v prohlížečích.
Pro jistotu doplním, že existují služby, které stahují CT listy a nad nimi vytvářejí třeba webové rozhraní umožňující CT list prohledávat. Ale to jsou externí služby, není to služba poskytovaná přímo provozovatelem CT listu.
Kdybys Jirsaku vecne neblabolil ... prohlizec se koukne zda ma v seznamu duveryhodnych cert nebo jeho matinku, a nejaky seznam je mu u rite. A kazdej svepravnej clovek ma posilani a dotazovani na tuhle volovinu i primo vypnutou.
Vypnuté to nemá nikdo, protože to vůbec neexistuje. CT neposkytuje žádnou službu dotazování. Je na každém, aby si CT stáhl a pak s ním pracoval, pokud v něm chce něco hledat. Ale prohlížeče používjaí jiný způsob – při přidání certifikátu do CT je vydána značka, která se přidá do certifikátu. Takže prohlížeč si jen zkontroluje tuto značku.
... Už 15 let tu ale máme NSEC3, který enumeraci brání.
Coz je nejvetsi blabol za dobu existence roota ktery se tu vyskyt.
Když něčemu nerozumíte, zkuste si to aspoň vygooglit. Našel byste třeba tenhle popis NSEC3: https://www.lupa.cz/clanky/nsec3nbspndash-dnssec-ktery-nic-nevyzradi/
-
Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.
Jak zjistíte, že je nějaká CA kompromitovaná, když nemůžete sledovat, jaké certifikáty vydala (například pomocí CT logu)?
A jak zjistite, zda neni nejaky CT provider kompromitovanej?
Opět nerozumím. Jakým způsobem by mohl kompromitovaný CT škodit?
-
Resp. takových důvěryhodných seznamů je více a prohlížeče vyžadují, aby byl certifikát zveřejněn alespoň na určitém počtu z nich. (Což řeší námitku RDa – nestačilo by kompromitovat jeden CT list, ale všechny).
No hlavně CT má nějak kryptograficky vyřešeno (Merkle tree, "blockchain"), aby nemohl vydat značku a pak certifikát nezveřejnit, ne?
-
No hlavně CT má nějak kryptograficky vyřešeno (Merkle tree, "blockchain"), aby nemohl vydat značku a pak certifikát nezveřejnit, ne?
Může vydat značku a pak seznam „forknout“ před vydáním této značky, tj. na aktuálním seznamu ta značka nebude. Tím pádem by ta značka samozřejmě byla neplatná. Takže ano, je tu možnost, že někdo hackne certifikační autoritu, hackne všechny CT, kam daná CA umisťuje certifikáty, a pak tím vydaným certifikátem dotyčný může oklamat Firefox nebo jiný program, který CT ignoruje.
Pravděpodobnost takového útoku je podle mne směšně malá, ale asi bylo potřeba to tady napsat, aby si třeba RDa uvědomil, o čem tady celou dobu básní.
-
... Už 15 let tu ale máme NSEC3, který enumeraci brání.
Coz je nejvetsi blabol za dobu existence roota ktery se tu vyskyt.
Když něčemu nerozumíte, zkuste si to aspoň vygooglit. Našel byste třeba tenhle popis NSEC3: https://www.lupa.cz/clanky/nsec3nbspndash-dnssec-ktery-nic-nevyzradi/
Jen bych dodal, že to umožňuje jména rychleji hádat, protože louskáte hashe offline (např. slovníkovým útokem), nemusíte se na každé jméno ptát DNS serveru.
-
pouzivani domen samozrejme bezpecnostni riziko neni, listing se da zakazat a nejakej suffix kterej znas jen zhlavy ty pomuze.
Problem je samozrejme system dns jako takovej, protoze dnes to leze pres kde co a nakonec to stejne nekde vyplave bud u LE transparency nebo to nekdo chytne na dns provozu a tim to ztrati na kouzlu.
uprimne nechapu jak existence zaznamu v DNS (ktery nejde listovat a utece tedy jen konkretni host) ovlivni bezpecnost neceho co neni na dns vazano. Ano take z bezpecnostnich duvodu nedavame defaultni vhost na zakaznickou aplikaci a trvame na SNI tj utocnik scanem nema sanci najit co za aplikaci tam je a vylame si zuby na pokusech poprat se z default vhostem. Ale dnes v dobe kdy scannery jedou dnem i noci neco schovavat absenci dns .. nevim nevim.
Pokud je to fyzicke pridal bych jednu vrstvu nad to (treba rb v transparent modu) pokud virtualizovane tak jednu vrstvu pred to (opnsense,pfsense,chr,*wrt) a pouzil nejakou verejnou vpn a mel to chranene na treti vrstve proti pristupu z venci.
-
Pravděpodobnost takového útoku je podle mne směšně malá, ale asi bylo potřeba to tady napsat, aby si třeba RDa uvědomil, o čem tady celou dobu básní.
Prosím? Spíš by stálo za to se zamyslet, v jakém případě (jaký typ útočníka proti jaké oběti) bude případně podobný útok provádět, a zda, čirou náhodou, v tom případě (s uvážením prostředků, které onen útočník má) nebude naopak směšně malá pravděpodobnost odhalení.
Ano, pokud rád věci komplikujete, můžete si zaregistrovat veřejné doménové jméno, které nadelegujete na autoritativní servery za firewallem. Takže k datům uvnitř dané zóny se dostanou jen resolvery, kterým to na firewallu povolíte. Pak bude fungovat i výše uvedená myšlenka s třetím resolverem. Ostatní resolvery totiž budou hlásit chybu SERVFAIL, což povede klienta ke zkoušení dalších resolverů až narazí na ten jeden povolený. Může to ale trvat poměrně dlouho.
K trochu konstruktivnější debatě bych spíš OPa odkázal na koncept split-DNS, což je dost běžně používaná věc, která samozřejmě má jak své klady, tak i zápory.
Ještě k argumentu "ale oni to stejně scanují podle IP" - to každopádně neplatí, pokud na té IP sedí něco, co má virtual servery podle jména. Když tam vleze scanner po IP, a server to na sebe nepráskne (např. podle ASN v certifikátu), tak je dost možné, že útok skončí u defaultní stránky nginxu a né u děravého Wordpressu, který jinak než přes znalost Host: mujtajnyblogiiseknakterynikdonetrefi.ja.cz není dostupný. (nerozporuji, že děravý Wordpress na internet nepatří, ostatně ani na Intranet. Ale bavme se racionálně.)
-
Pravděpodobnost takového útoku je podle mne směšně malá, ale asi bylo potřeba to tady napsat, aby si třeba RDa uvědomil, o čem tady celou dobu básní.
Prosím? Spíš by stálo za to se zamyslet, v jakém případě (jaký typ útočníka proti jaké oběti) bude případně podobný útok provádět, a zda, čirou náhodou, v tom případě (s uvážením prostředků, které onen útočník má) nebude naopak směšně malá pravděpodobnost odhalení.
No a jak je tedy kontrolováno, že CT log je Merkle tree/"blockchain", a jsou v tomto nějaké mezery nebo ne? Jako já nevím jak se implementují ty kontroly - jestli třeba jednou za hodinu publikují hash "vrcholu stromu", a kontroluje se, že všechny záznamy sedí, a kde tenhle hash pak sežene prohlížeč, nebo jak.
-
Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. Nebo se také bojím člověka co si nějakou službu vyhlídne zkoumá možné zranitelnosti. Ten ale celkem jistě nebude schopen odchytávat můj vlastní dns provoz, nebo provoz všech zákazníků.
Nebylo by možné mít vlastní DNS server, který bych nastavil na počítačích na kterých pracuji jako třeba třetí v pořadí?
A ten by našel záznam jen když veřejné servery nic najít nedovedou? Ten neveřejný DNS server by mohl být chráněn firewalem jen pro přístup z jistých ip adres + VPN. Takto by možná šlo vytvořit celý nový doménový neveřejný prostor.
Snazil som sa o nieco podobne (https://forum.root.cz/index.php?topic=28918.0) v ramci studijnych ucelov. Unbound som zatial vzdal a nasadil som bind, ale venujem tomu velmi malo casu, pretoze mam aj ine starosti.