Configuracion de named [Was: Re: [OT] Un grito a angustia...]

Tue Nov 14 12:16:39 2006 

Alvaro Herrera escribió:
> Juan Flores escribió:
>> On 11/13/06, Horst H. von Brand <[EMAIL PROTECTED]> wrote:
> 
>>> [Un servidor responsable (maestro o esclavo, /no/ solo cache) que responda
>>> a consultas recursivas es un grave riesgo. Solia ser relativamente facil
>>> engan~arlos para entregar informacion falsificada. Nuevas versiones de
>>> bind tienen salvaguardias contra las maneras conocidas de lograr tal
>>> desman, pero nunca se sabe...]
>> Con respecto a la seguridad de bind, algunos aconsejan no habilitar
>> TCP, solo UDP, sera muy paranioco?
> 
> Huh, y cual seria el razonamiento detras de esa recomendacion?
> 
Creo que echar por la borda las trasferencias de zona, que en caso de 
ser autoridad no estaría bien
From [EMAIL PROTECTED]  Tue Nov 14 12:27:00 2006
From: [EMAIL PROTECTED] (Mauricio Vergara Ereche)
Date: Tue Nov 14 12:23:35 2006
Subject: Configuracion de named [Was: Re: [OT] Un grito a angustia...]
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

El Mar Noviembre 14 2006 11:29, Alvaro Herrera escribió:
> Juan Flores escribió:
> > On 11/13/06, Horst H. von Brand <[EMAIL PROTECTED]> wrote:
> > >[Un servidor responsable (maestro o esclavo, /no/ solo cache) que
> > > responda a consultas recursivas es un grave riesgo. Solia ser
> > > relativamente facil engan~arlos para entregar informacion
> > > falsificada. Nuevas versiones de bind tienen salvaguardias contra las
> > > maneras conocidas de lograr tal desman, pero nunca se sabe...]
> >
> > Con respecto a la seguridad de bind, algunos aconsejan no habilitar
> > TCP, solo UDP, sera muy paranioco?
>
> Huh, y cual seria el razonamiento detras de esa recomendacion?

Es una mala recomendacion de los que tienen habilitado la transferencia de 
zonas a quién le dé la gana.

TCP y UDP 53 *deben* estar abiertos siempre.
...el control del axfr se debe hacer a nivel de aplicación.

Fijate por ejemplo que los root servers tienen los puertos 53 abiertos tanto 
para tcp como udp

-- 
Mauricio Vergara Ereche                 User #188365 counter.li.org
NIC Chile                                       mave [EMAIL PROTECTED] nic [.] 
cl
Miraflores 222 piso 14, Santiago CHILE                +56 2 9407710
Codigo Postal: 832-0198                           http://www.nic.cl

Responder a