----- Original Message ----- From: "Vesselin Kolev" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Friday, October 17, 2003 10:52 AM Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
> -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Въпросът никак не е глупав. Мислех да го описвам, но предположих, че > повечето хора са наясно със схемата на делегиране и неприложимостта > на "wildcard" записи в нея. > > Първо (това не е обида), това дето си написал няма нищо общо с NS RR. > След NS се поставя пълно квалифицирано име на хост (а не IP адрес). > Да, бе, объркал съм се. Беше късно все пак :))) Все пак обаче според това, което и ти обясняваш по-долу технически поне заобикаляне на този филтър е напълно възможно. Поздрави, Андрей > За да предотвратя въпрос от типа "да, ама аз съм виждал как в master > зоната има запис > > domain NS host1 > domain NS host2 > > и host1 и host2 не са пълни квалифицирани имена на хост, поне не и както > са записани", бих казал, че след като записът се извлече от йерархията, > той винаги се връща на клиента като пълни квалифицирано име на хост > (т.е. към него се прибавя съответния $ORIGIN). > > Сега директно към темата. Ако се опитате в ISC BIND да направите NS > "wildcard" запис, тогава зоната ви въобще няма да се валидира при > зареждането на локалния кеш. Казано с пример, ако опитате, в syslog > ще получите следното съобщение за грешка: > > zone test.tld/IN: loading master file master/domains/test.tld: invalid NS > owner name (wildcard) > > Този пример е даден за домейн test.tld, чиито зонален файл се намира > в /var/named/master/domains/test.tld (в syslog съобщението този път е > указан релативно поради това, че в options на named.conf е деклариран > път /var/named). > > От друга страна VeriSign не използват ISC BIND. Напротив, за тях ISC BIND > е олицетворение на разбитите им амбиции да наложат своите виждания като > стандарт за системата за имена в Интернет. Софтуерът, който те използват > за обслужване на заявките се нарича Atlas. Под него стой Ingress, който се > грижи за базата данни. За VeriSign понятието "зонален файл", както и > "ресурсен запис" не съществува. Т.е. за тях не може да се говори като за > ползващи RFC документите издадени по проекта за системата за имена на > Интернет. Следвателно горните разсъждения за ISC BIND не се приложими > за софтуерите на VeriSign. > > Аз не мога да кажа със 100% сигурност дали VeriSign няма да направят > "wildcard" NS ресурсни записи. Ако те направят това обаче, те ще трябва > (ВНИМАНИЕ в тънкия момент) да делегират всички визможни домейни, което > ще е тотален скандал и тогава ICANN няма да може да защитава VeriSign и > ще им вземе регистърските права. Скандалът може да стане толкова голям, > че операторите на DNS сървърите в Интернет да спрат да обслужват заявки > за TLD COM и NET. > > Т.е. до там едва ли нчкога ще се стигне, защото това ще опрочи тотално > цялото доверие в системата за имена. > > Поздрави > Весо > > > > > Дано въпросът ми да не е глупав, но не може ли в ТЛД зоната да се добави > > 'глобален' запис от тип NS и това да излъже филтрирането? Пример: > > > > $ORIGIN tld. > > > > * NS 111.222.111.222 > > > > > > Поздрави, > > Андрей > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.0.7 (GNU/Linux) > > iD8DBQE/j5+n+48lZPXaa+MRAg/ZAKCTUxceuym3zu8bjVHusxB03+8JAgCeKfew > X4iDn1NKB4zxXCIB9hxNn3k= > =TmI6 > -----END PGP SIGNATURE----- > > ============================================================================ > A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora > To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > ============================================================================ > > ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
