Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Leonardo Augusto
2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com:

 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:

  Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
  escreveu:
 
   2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:
  
Em 6 de janeiro de 2015 15:42, Evandro Nunes 
 evandronune...@gmail.com
  
escreveu:
   
  Não esqueçam de ver se tem DNSSEC.

 exatamente
 e se tiver DESLIGA

   
Pelo contrário, se tiver, LIGA.
  
   --
Eduardo Schoedler
   
  
   rss rs rs
   por mim desliga
  
   em um mundo onde ninguém segue BCP nenhuma
   ninguém tem filtros ingress mínimos
   diversas aplicações ainda fazem consultas q=ANY
   onde milhões de androids infectados são vetores de início de
 amplificação
   nesse mundo, eu troco explicitamente a confidencialidade pela
   disponibilidade
   e desligo DNSSEC
 
  É, não contribuir só ajuda a piorar.
 

 não usar DNSSEC não piora em nada as amplificações
 ao contrário ajuda


  Se cada um fizer sua parte, já é algo.
 

 eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
 ataques e me usando pra isso

 o djb, autor do qmail, não é das pessoas que mais admiro
 inclusive o abandonware do qmail dele é um dos q fazem query type ANY
 mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
 DNSSEC é uma arma na mão de kids

 Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
  etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
 

 não ter problemas não é sinônimo de não ser causa de problemas
 se isso um dia acontecer talvez você mude de opinião
 o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
 trafego astronômico com um shell script,  wget+dig
 pouco depois disso vimos o maior ddos da historia contra o spamhaus
 foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
 com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
 cloudfare mais de 80% em volume (quantidade não frequência) eram respostas
 de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado

 os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
 SPOF, Random ID Guessing
 os problemas que o DNSSEC cria ou exponencialmente amplia são os de
 disponibilidade (ou falta dela)
 então entre a a escolha de disponibilidade vs autenticidade, cada um faz a
 sua, eu fiz a minha
 a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e
 desleixo dos sysadmins
 nem pelo aumento da tarefas operacionais na manutenção do DNS

 bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
 DNSSEC
 todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado
 para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing
 como vetor primário de ataque risco, se esses 99% do mundo continuarem sem
 DNSSEC o mundo será um lugar mais seguro

 enfim, a diferença entre a vacina e o veneno é a dosagem


 http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/

 http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
 http://cr.yp.to/talks/2009.08.10/slides.pdf
 http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
 https://twitter.com/hashbreaker/status/246746124222865409



Muito obrigado a todos pelas respostas, o assunto vai longe.
Meu caso  é bem simples...

Interressante os comentários em volta do DNSSEC.

Abraço a todos.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Fabricio Lima
Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe


Mas q porra eh BCPs?

Fabricio

Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com
escreveu:

 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com
 javascript:;:

  2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
 
   Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
 javascript:;
   escreveu:
  
2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
   
 Em 6 de janeiro de 2015 15:42, Evandro Nunes 
  evandronune...@gmail.com javascript:;
   
 escreveu:

   Não esqueçam de ver se tem DNSSEC.
 
  exatamente
  e se tiver DESLIGA
 

 Pelo contrário, se tiver, LIGA.
   
--
 Eduardo Schoedler

   
rss rs rs
por mim desliga
   
em um mundo onde ninguém segue BCP nenhuma
ninguém tem filtros ingress mínimos
diversas aplicações ainda fazem consultas q=ANY
onde milhões de androids infectados são vetores de início de
  amplificação
nesse mundo, eu troco explicitamente a confidencialidade pela
disponibilidade
e desligo DNSSEC
  
   É, não contribuir só ajuda a piorar.
  
 
  não usar DNSSEC não piora em nada as amplificações
  ao contrário ajuda
 
 
   Se cada um fizer sua parte, já é algo.
  
 
  eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
  ataques e me usando pra isso
 
  o djb, autor do qmail, não é das pessoas que mais admiro
  inclusive o abandonware do qmail dele é um dos q fazem query type ANY
  mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
  DNSSEC é uma arma na mão de kids
 
  Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
   etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
  
 
  não ter problemas não é sinônimo de não ser causa de problemas
  se isso um dia acontecer talvez você mude de opinião
  o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
  trafego astronômico com um shell script,  wget+dig
  pouco depois disso vimos o maior ddos da historia contra o spamhaus
  foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
  com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
  cloudfare mais de 80% em volume (quantidade não frequência) eram
 respostas
  de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado
 
  os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
  SPOF, Random ID Guessing
  os problemas que o DNSSEC cria ou exponencialmente amplia são os de
  disponibilidade (ou falta dela)
  então entre a a escolha de disponibilidade vs autenticidade, cada um faz
 a
  sua, eu fiz a minha
  a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça
 e
  desleixo dos sysadmins
  nem pelo aumento da tarefas operacionais na manutenção do DNS
 
  bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
  DNSSEC
  todos os outros 99% do planeta cujo domínio raramente sera
 usado/evenenado
  para ataques de phishing e qualquer outro tipo de fraude que tenha
 spoofing
  como vetor primário de ataque risco, se esses 99% do mundo continuarem
 sem
  DNSSEC o mundo será um lugar mais seguro
 
  enfim, a diferença entre a vacina e o veneno é a dosagem
 
 
 
 http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
 
 
 http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
  http://cr.yp.to/talks/2009.08.10/slides.pdf
  http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
  https://twitter.com/hashbreaker/status/246746124222865409
 
 
 
 Muito obrigado a todos pelas respostas, o assunto vai longe.
 Meu caso  é bem simples...

 Interressante os comentários em volta do DNSSEC.

 Abraço a todos.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] fork do pfSense

2015-01-08 Por tôpico ae moura
Obrigado a todos pelas opiniões e Patrick pelos esclarecimentos do aprovado e 
do @sullrichGarga o que e ESF e voce pessoalmente acham?E o Jack? 
Testou?Insisto porque eu gostei, a interface web me agradou muito e agradou a 
equipe aqui. Pro que precisamos ele atende em recursos porque não é o caso para 
tudo que o pfSense tem.Então queria colher mais opiniões sobre estabilidade 
antes de por em produção uma vez que eu não consigo fazer muitos testes de 
bancada antes de por em uso devido a recursos limitados kkk



 Date: Tue, 6 Jan 2015 15:11:35 -0200
 From: evandronune...@gmail.com
 To: freebsd@fug.com.br
 Subject: Re: [FUG-BR] fork do pfSense
 
 2015-01-06 10:12 GMT-02:00 Rafael Aquino raf...@lk6.com.br:
 
 
  - Mensagem original -
   De: ae moura aemoura@outlook.com
   Para: freebsd@fug.com.br
   Enviadas: Terça-feira, 6 de janeiro de 2015 9:21:16
   Assunto: [FUG-BR] fork do pfSense
  
   Ontem instalei um fork do pfSense chamado OPNSense.Dizem que é um fork
   aprovado (o que quer que isso signifique).Parece ter participação do
  Scott
   Ullrich criador do pfSense.
   Alguém ja testou?O que achou?Instalei, vi diversas diferenças mas alguns
  bugs
   em Virtualbox.Fiquei receoso em por em produção.Quem ja testou, pra
  opinar?
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
 
 
  Bom dia a todos...
 
  Eu não conhecia esta ferramenta, e como fã do PFSense prontamente instalei
  (agora a pouco)
 
 
 eu desconhecia também
 instalei para testar, bonito tema mesmo
 o restante o que tem parece igual ao pfsense
 mas tem pouca coisa
 me parece um fork para vender hardware
 ou seja diretamente conflitante com o modelo de negocio da netgate rss
 
 Mas até o momento senti falta de um recurso vital: o gerenciador de
  pacotes...
  E também da tradução para português.
 
  No mais, parece bem estável (de novo: são os mesmos recursos do pfsense em
  um FreeBSD 10.0 p15).
 
 
 verdade
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] fork do pfSense

2015-01-08 Por tôpico Guilherme Ferreira Rosário
Taca-le pal nesse carrinho.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico ae moura


 Date: Thu, 8 Jan 2015 15:28:32 -0200
 From: lis...@fabriciolima.com.br
 To: freebsd@fug.com.br
 Subject: Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
 
 Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe
 
 
 Mas q porra eh BCPs?
São melhores práticas.Best Common Practices.Acho que no caso eles estão falando 
da BCP38.A melhor discussão do assunto foi iniciada pelo mestre Patrick 
Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a primeira 
mensagem) pois toda a conversa teve gente de alto nível 
opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html
Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em 
geral Hahaha

 
 Fabricio
 
 Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com
 escreveu:
 
  2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com
  javascript:;:
 
   2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
  javascript:;:
  
Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
  javascript:;
escreveu:
   
 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
  javascript:;:

  Em 6 de janeiro de 2015 15:42, Evandro Nunes 
   evandronune...@gmail.com javascript:;

  escreveu:
 
Não esqueçam de ver se tem DNSSEC.
  
   exatamente
   e se tiver DESLIGA
  
 
  Pelo contrário, se tiver, LIGA.

 --
  Eduardo Schoedler
 

 rss rs rs
 por mim desliga

 em um mundo onde ninguém segue BCP nenhuma
 ninguém tem filtros ingress mínimos
 diversas aplicações ainda fazem consultas q=ANY
 onde milhões de androids infectados são vetores de início de
   amplificação
 nesse mundo, eu troco explicitamente a confidencialidade pela
 disponibilidade
 e desligo DNSSEC
   
É, não contribuir só ajuda a piorar.
   
  
   não usar DNSSEC não piora em nada as amplificações
   ao contrário ajuda
  
  
Se cada um fizer sua parte, já é algo.
   
  
   eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
   ataques e me usando pra isso
  
   o djb, autor do qmail, não é das pessoas que mais admiro
   inclusive o abandonware do qmail dele é um dos q fazem query type ANY
   mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
   DNSSEC é uma arma na mão de kids
  
   Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
   
  
   não ter problemas não é sinônimo de não ser causa de problemas
   se isso um dia acontecer talvez você mude de opinião
   o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
   trafego astronômico com um shell script,  wget+dig
   pouco depois disso vimos o maior ddos da historia contra o spamhaus
   foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
   com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
   cloudfare mais de 80% em volume (quantidade não frequência) eram
  respostas
   de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado
  
   os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
   SPOF, Random ID Guessing
   os problemas que o DNSSEC cria ou exponencialmente amplia são os de
   disponibilidade (ou falta dela)
   então entre a a escolha de disponibilidade vs autenticidade, cada um faz
  a
   sua, eu fiz a minha
   a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça
  e
   desleixo dos sysadmins
   nem pelo aumento da tarefas operacionais na manutenção do DNS
  
   bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
   DNSSEC
   todos os outros 99% do planeta cujo domínio raramente sera
  usado/evenenado
   para ataques de phishing e qualquer outro tipo de fraude que tenha
  spoofing
   como vetor primário de ataque risco, se esses 99% do mundo continuarem
  sem
   DNSSEC o mundo será um lugar mais seguro
  
   enfim, a diferença entre a vacina e o veneno é a dosagem
  
  
  
  http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
  
  
  http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
   http://cr.yp.to/talks/2009.08.10/slides.pdf
   http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
   https://twitter.com/hashbreaker/status/246746124222865409
  
  
  
  Muito obrigado a todos pelas respostas, o assunto vai longe.
  Meu caso  é bem simples...
 
  Interressante os comentários em volta do DNSSEC.
 
  Abraço a todos.
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
 -- 
 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.
 -
 Histórico: 

Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Otavio Augusto
Em 8 de janeiro de 2015 15:28, Fabricio Lima
lis...@fabriciolima.com.br escreveu:
 Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe


 Mas q porra eh BCPs?
Melhores práticas para se implementar/configurar/administrar algum recurso
vide : http://www.rfc-editor.org/categories/rfc-best.html



 Fabricio

 Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com
 escreveu:

 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com
 javascript:;:

  2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
 
   Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
 javascript:;
   escreveu:
  
2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
   
 Em 6 de janeiro de 2015 15:42, Evandro Nunes 
  evandronune...@gmail.com javascript:;
   
 escreveu:

   Não esqueçam de ver se tem DNSSEC.
 
  exatamente
  e se tiver DESLIGA
 

 Pelo contrário, se tiver, LIGA.
   
--
 Eduardo Schoedler

   
rss rs rs
por mim desliga
   
em um mundo onde ninguém segue BCP nenhuma
ninguém tem filtros ingress mínimos
diversas aplicações ainda fazem consultas q=ANY
onde milhões de androids infectados são vetores de início de
  amplificação
nesse mundo, eu troco explicitamente a confidencialidade pela
disponibilidade
e desligo DNSSEC
  
   É, não contribuir só ajuda a piorar.
  
 
  não usar DNSSEC não piora em nada as amplificações
  ao contrário ajuda
 
 
   Se cada um fizer sua parte, já é algo.
  
 
  eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
  ataques e me usando pra isso
 
  o djb, autor do qmail, não é das pessoas que mais admiro
  inclusive o abandonware do qmail dele é um dos q fazem query type ANY
  mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
  DNSSEC é uma arma na mão de kids
 
  Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
   etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
  
 
  não ter problemas não é sinônimo de não ser causa de problemas
  se isso um dia acontecer talvez você mude de opinião
  o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
  trafego astronômico com um shell script,  wget+dig
  pouco depois disso vimos o maior ddos da historia contra o spamhaus
  foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
  com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
  cloudfare mais de 80% em volume (quantidade não frequência) eram
 respostas
  de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado
 
  os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
  SPOF, Random ID Guessing
  os problemas que o DNSSEC cria ou exponencialmente amplia são os de
  disponibilidade (ou falta dela)
  então entre a a escolha de disponibilidade vs autenticidade, cada um faz
 a
  sua, eu fiz a minha
  a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça
 e
  desleixo dos sysadmins
  nem pelo aumento da tarefas operacionais na manutenção do DNS
 
  bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
  DNSSEC
  todos os outros 99% do planeta cujo domínio raramente sera
 usado/evenenado
  para ataques de phishing e qualquer outro tipo de fraude que tenha
 spoofing
  como vetor primário de ataque risco, se esses 99% do mundo continuarem
 sem
  DNSSEC o mundo será um lugar mais seguro
 
  enfim, a diferença entre a vacina e o veneno é a dosagem
 
 
 
 http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
 
 
 http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
  http://cr.yp.to/talks/2009.08.10/slides.pdf
  http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
  https://twitter.com/hashbreaker/status/246746124222865409
 
 
 
 Muito obrigado a todos pelas respostas, o assunto vai longe.
 Meu caso  é bem simples...

 Interressante os comentários em volta do DNSSEC.

 Abraço a todos.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



 --
 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Otavio Augusto
-
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Patrick Tracanelli

 On 08/01/2015, at 16:42, ae moura aemoura@outlook.com wrote:
 
 
 
 Date: Thu, 8 Jan 2015 15:28:32 -0200
 From: lis...@fabriciolima.com.br
 To: freebsd@fug.com.br
 Subject: Re: [FUG-BR][OFF-TOPIC] Free DNS host, alguém recomenda ?
 
 Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe
 
 
 Mas q porra eh BCPs?
 São melhores práticas.Best Common Practices.Acho que no caso eles estão 
 falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre 
 Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a 
 primeira mensagem) pois toda a conversa teve gente de alto nível 
 opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html
 Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em 
 geral Hahaha
 

huauhauhuhaa longe de mim, não foi a intenção jamais :-)

Na verdade é Best Current Practices.

Mas concordo, todos sysadmins e operadores de rede deveriam sim conhecer, é o 
mínimo, o básico da responsabilidade. 
Na verdade concordo tanto que estamos revisando os requisitos da certificação 
BSDP e um dos testes práticos será implementar recomendações da BCP usando 
ferramentas nativas no sistema BSD que o cara for se certificar. É a forma como 
o BSD Certification Group pode fazer pra ajudar a ter admins mais responsáveis, 
focando-os a estudar e se preparar mesmo se no exame dele esse item funcional 
não for pedido (ja que é random tasks).

No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as 
atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as 
que eu recomendo e que estão associadas a essa excelente discussão:

BCP - Best Current Practices - Index:

http://www.rfc-editor.org/categories/rfc-best.html

*BCP38 - Network Ingress Filtering (dica: verify reverse path, verify source 
reachability, antispoof no IPFW, antispoof no PF)
*BCP84 - Ingress Filtering for Multihomed Networks  
*BCP140 - Preventing Use of Recursive Nameservers in Reflector Attacks (dicas: 
acls e filtros no BIND/unbound, split horizon, views, any cast DNS)
BCP189 - An Acceptable Use Policy for New ICMP Types and Codes  (man 8 icmp, 
pf, ipfw, sysctls)
BCP186 - Recommendations on Filtering of IPv4 Packets Containing IPv4 Options  
BCP122 - Classless Inter-domain Routing (CIDR)
BCP132 - AAA
BCP30 - Anti-Spam Recommendations for SMTP MTAs  
BCP5 - RFC1918 - Address Allocation for Private Internets
BCP16 - Selection and Operation of Secondary DNS Servers  

* mais aplicáveis a essa discussão sobre DNS

Existem outras BCP/RFC que eu queria colocar como requisito de estudo da BSDP 
mas infelizmente não cabem devido ao escopo da certificação.

BCP114 - BGP Communities for Data Collection  
BCP21 - Expectations for Computer Security Incident Response  
BCP20 - Classless IN-ADDR.ARPA delegation  
BCP6 - Guidelines for creation, selection, and registration of an Autonomous 
System (AS)  
BCP57 - IGMP
BCP152 - DNS Proxy Implementation Guidelines  
BCP123 - Observed DNS Resolution Misbehavior  

Sobre o assunto DNSSEC, eu penso que ambos tem razão. DNSSEC aumenta sim o 
risco de ataques UDP fundados em amplificação; não porque ele facilite mas 
porque gera respostas maiores. No entanto isso é um problema maior que do 
DNSSEC, é do DNS em si, sua natureza e as características milenares (sim em 
Internet meses valem anos e décadas milénios hehehe) dos protocolos que usamos, 
IPv4, BGPv4, comunicação unicast, e pouca capacidade de roteadores de borda de 
implementar mecanismos, ainda que leves, de controle e filtro. Como eu disse no 
e-mail citado hehehe, sem esculachar ninguém que fique claro, falta sim 
responsabilidades dos operadores de rede, e não estou falando de operadores de 
provedores de 1, 2, 10Gbit/s como temos no Brasil, por incrível que pareça os 
pequenos que proporcionalmente vão crescendo, tem se mostrado mais responsáveis 
com seus Linux, BSD, VyOS, RouterOS do que grandes operadoras, em terrinha 
tupiniquim nominalmente Oi e Telefonica por exemplo e em algumas regiões até a 
NET que permite que se Spoof IP até falso (RFCP1918/BCP5) dentro de suas redes.

Em um mundo com BCPs implementadas, com DNSSEC, IPv6 e S-BGP, estaremos mais 
seguros, tanto em termos citados na conversa quanto em termos de continuidade 
de negócio. O que aconteceu em 2003 com Spamhaus aconteceu em Dezembro com a 
Sony, antes disso com a PSN de novo. E em menor volume acontece todos os dias, 
vejam na GTER o tanto de gente sofrendo com DDoS UDP de origens forjadas.

A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP 
Amplification.

Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus 
SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? 
Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não é. 
Falta de acesso a informação não é.

Todos deveriam começar devorando as referências abaixo:

http://bcp.nic.br/
http://bcp.nic.br/antispoofing/

E depois