Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em geral Hahaha huauhauhuhaa longe de mim, não foi a intenção jamais :-) k SeiVejamos... No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as que eu recomendo e que estão associadas a essa excelente discussão: Ótima iniciativa uma certificação forçar pelo menos o básico A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP Amplification. Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não é. Falta de acesso a informação não é. Todos deveriam começar devorando as referências abaixo: O que o patrick disse:- prezados sysadmins, não sejam irresponsáveis e negligentes, devorem as BCP e as referências do NIC O que ele quis dizer:- imbecís filhos da mãe, sejam menos medíocre e engulam as bcp rsssEsculacho educado é assim ;-) http://bcp.nic.br/ http://bcp.nic.br/antispoofing/ E depois irem pras BCP não cobertas em português. -- Patrick Tracanelli - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com: 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com escreveu: 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC É, não contribuir só ajuda a piorar. não usar DNSSEC não piora em nada as amplificações ao contrário ajuda Se cada um fizer sua parte, já é algo. eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem ataques e me usando pra isso o djb, autor do qmail, não é das pessoas que mais admiro inclusive o abandonware do qmail dele é um dos q fazem query type ANY mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que DNSSEC é uma arma na mão de kids Eu implemento BCPs (principalmente rpf-check, proteção de route engines, etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. não ter problemas não é sinônimo de não ser causa de problemas se isso um dia acontecer talvez você mude de opinião o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um trafego astronômico com um shell script, wget+dig pouco depois disso vimos o maior ddos da historia contra o spamhaus foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto com recursivo aberto quanto apenas autoritativos, desse trafego segundo a cloudfare mais de 80% em volume (quantidade não frequência) eram respostas de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, SPOF, Random ID Guessing os problemas que o DNSSEC cria ou exponencialmente amplia são os de disponibilidade (ou falta dela) então entre a a escolha de disponibilidade vs autenticidade, cada um faz a sua, eu fiz a minha a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e desleixo dos sysadmins nem pelo aumento da tarefas operacionais na manutenção do DNS bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem DNSSEC todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing como vetor primário de ataque risco, se esses 99% do mundo continuarem sem DNSSEC o mundo será um lugar mais seguro enfim, a diferença entre a vacina e o veneno é a dosagem http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf http://cr.yp.to/talks/2009.08.10/slides.pdf http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp https://twitter.com/hashbreaker/status/246746124222865409 Muito obrigado a todos pelas respostas, o assunto vai longe. Meu caso é bem simples... Interressante os comentários em volta do DNSSEC. Abraço a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe Mas q porra eh BCPs? Fabricio Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com escreveu: 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com javascript:;: 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br javascript:;: Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com javascript:; escreveu: 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br javascript:;: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com javascript:; escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC É, não contribuir só ajuda a piorar. não usar DNSSEC não piora em nada as amplificações ao contrário ajuda Se cada um fizer sua parte, já é algo. eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem ataques e me usando pra isso o djb, autor do qmail, não é das pessoas que mais admiro inclusive o abandonware do qmail dele é um dos q fazem query type ANY mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que DNSSEC é uma arma na mão de kids Eu implemento BCPs (principalmente rpf-check, proteção de route engines, etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. não ter problemas não é sinônimo de não ser causa de problemas se isso um dia acontecer talvez você mude de opinião o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um trafego astronômico com um shell script, wget+dig pouco depois disso vimos o maior ddos da historia contra o spamhaus foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto com recursivo aberto quanto apenas autoritativos, desse trafego segundo a cloudfare mais de 80% em volume (quantidade não frequência) eram respostas de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, SPOF, Random ID Guessing os problemas que o DNSSEC cria ou exponencialmente amplia são os de disponibilidade (ou falta dela) então entre a a escolha de disponibilidade vs autenticidade, cada um faz a sua, eu fiz a minha a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e desleixo dos sysadmins nem pelo aumento da tarefas operacionais na manutenção do DNS bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem DNSSEC todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing como vetor primário de ataque risco, se esses 99% do mundo continuarem sem DNSSEC o mundo será um lugar mais seguro enfim, a diferença entre a vacina e o veneno é a dosagem http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf http://cr.yp.to/talks/2009.08.10/slides.pdf http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp https://twitter.com/hashbreaker/status/246746124222865409 Muito obrigado a todos pelas respostas, o assunto vai longe. Meu caso é bem simples... Interressante os comentários em volta do DNSSEC. Abraço a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Date: Thu, 8 Jan 2015 15:28:32 -0200 From: lis...@fabriciolima.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ? Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe Mas q porra eh BCPs? São melhores práticas.Best Common Practices.Acho que no caso eles estão falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a primeira mensagem) pois toda a conversa teve gente de alto nível opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em geral Hahaha Fabricio Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com escreveu: 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com javascript:;: 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br javascript:;: Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com javascript:; escreveu: 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br javascript:;: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com javascript:; escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC É, não contribuir só ajuda a piorar. não usar DNSSEC não piora em nada as amplificações ao contrário ajuda Se cada um fizer sua parte, já é algo. eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem ataques e me usando pra isso o djb, autor do qmail, não é das pessoas que mais admiro inclusive o abandonware do qmail dele é um dos q fazem query type ANY mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que DNSSEC é uma arma na mão de kids Eu implemento BCPs (principalmente rpf-check, proteção de route engines, etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. não ter problemas não é sinônimo de não ser causa de problemas se isso um dia acontecer talvez você mude de opinião o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um trafego astronômico com um shell script, wget+dig pouco depois disso vimos o maior ddos da historia contra o spamhaus foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto com recursivo aberto quanto apenas autoritativos, desse trafego segundo a cloudfare mais de 80% em volume (quantidade não frequência) eram respostas de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, SPOF, Random ID Guessing os problemas que o DNSSEC cria ou exponencialmente amplia são os de disponibilidade (ou falta dela) então entre a a escolha de disponibilidade vs autenticidade, cada um faz a sua, eu fiz a minha a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e desleixo dos sysadmins nem pelo aumento da tarefas operacionais na manutenção do DNS bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem DNSSEC todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing como vetor primário de ataque risco, se esses 99% do mundo continuarem sem DNSSEC o mundo será um lugar mais seguro enfim, a diferença entre a vacina e o veneno é a dosagem http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf http://cr.yp.to/talks/2009.08.10/slides.pdf http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp https://twitter.com/hashbreaker/status/246746124222865409 Muito obrigado a todos pelas respostas, o assunto vai longe. Meu caso é bem simples... Interressante os comentários em volta do DNSSEC. Abraço a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. - Histórico: http://www.fug.com.br
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Em 8 de janeiro de 2015 15:28, Fabricio Lima lis...@fabriciolima.com.br escreveu: Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe Mas q porra eh BCPs? Melhores práticas para se implementar/configurar/administrar algum recurso vide : http://www.rfc-editor.org/categories/rfc-best.html Fabricio Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com escreveu: 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com javascript:;: 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br javascript:;: Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com javascript:; escreveu: 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br javascript:;: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com javascript:; escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC É, não contribuir só ajuda a piorar. não usar DNSSEC não piora em nada as amplificações ao contrário ajuda Se cada um fizer sua parte, já é algo. eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem ataques e me usando pra isso o djb, autor do qmail, não é das pessoas que mais admiro inclusive o abandonware do qmail dele é um dos q fazem query type ANY mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que DNSSEC é uma arma na mão de kids Eu implemento BCPs (principalmente rpf-check, proteção de route engines, etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. não ter problemas não é sinônimo de não ser causa de problemas se isso um dia acontecer talvez você mude de opinião o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um trafego astronômico com um shell script, wget+dig pouco depois disso vimos o maior ddos da historia contra o spamhaus foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto com recursivo aberto quanto apenas autoritativos, desse trafego segundo a cloudfare mais de 80% em volume (quantidade não frequência) eram respostas de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, SPOF, Random ID Guessing os problemas que o DNSSEC cria ou exponencialmente amplia são os de disponibilidade (ou falta dela) então entre a a escolha de disponibilidade vs autenticidade, cada um faz a sua, eu fiz a minha a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e desleixo dos sysadmins nem pelo aumento da tarefas operacionais na manutenção do DNS bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem DNSSEC todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing como vetor primário de ataque risco, se esses 99% do mundo continuarem sem DNSSEC o mundo será um lugar mais seguro enfim, a diferença entre a vacina e o veneno é a dosagem http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf http://cr.yp.to/talks/2009.08.10/slides.pdf http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp https://twitter.com/hashbreaker/status/246746124222865409 Muito obrigado a todos pelas respostas, o assunto vai longe. Meu caso é bem simples... Interressante os comentários em volta do DNSSEC. Abraço a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
On 08/01/2015, at 16:42, ae moura aemoura@outlook.com wrote: Date: Thu, 8 Jan 2015 15:28:32 -0200 From: lis...@fabriciolima.com.br To: freebsd@fug.com.br Subject: Re: [FUG-BR][OFF-TOPIC] Free DNS host, alguém recomenda ? Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe Mas q porra eh BCPs? São melhores práticas.Best Common Practices.Acho que no caso eles estão falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a primeira mensagem) pois toda a conversa teve gente de alto nível opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em geral Hahaha huauhauhuhaa longe de mim, não foi a intenção jamais :-) Na verdade é Best Current Practices. Mas concordo, todos sysadmins e operadores de rede deveriam sim conhecer, é o mínimo, o básico da responsabilidade. Na verdade concordo tanto que estamos revisando os requisitos da certificação BSDP e um dos testes práticos será implementar recomendações da BCP usando ferramentas nativas no sistema BSD que o cara for se certificar. É a forma como o BSD Certification Group pode fazer pra ajudar a ter admins mais responsáveis, focando-os a estudar e se preparar mesmo se no exame dele esse item funcional não for pedido (ja que é random tasks). No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as que eu recomendo e que estão associadas a essa excelente discussão: BCP - Best Current Practices - Index: http://www.rfc-editor.org/categories/rfc-best.html *BCP38 - Network Ingress Filtering (dica: verify reverse path, verify source reachability, antispoof no IPFW, antispoof no PF) *BCP84 - Ingress Filtering for Multihomed Networks *BCP140 - Preventing Use of Recursive Nameservers in Reflector Attacks (dicas: acls e filtros no BIND/unbound, split horizon, views, any cast DNS) BCP189 - An Acceptable Use Policy for New ICMP Types and Codes (man 8 icmp, pf, ipfw, sysctls) BCP186 - Recommendations on Filtering of IPv4 Packets Containing IPv4 Options BCP122 - Classless Inter-domain Routing (CIDR) BCP132 - AAA BCP30 - Anti-Spam Recommendations for SMTP MTAs BCP5 - RFC1918 - Address Allocation for Private Internets BCP16 - Selection and Operation of Secondary DNS Servers * mais aplicáveis a essa discussão sobre DNS Existem outras BCP/RFC que eu queria colocar como requisito de estudo da BSDP mas infelizmente não cabem devido ao escopo da certificação. BCP114 - BGP Communities for Data Collection BCP21 - Expectations for Computer Security Incident Response BCP20 - Classless IN-ADDR.ARPA delegation BCP6 - Guidelines for creation, selection, and registration of an Autonomous System (AS) BCP57 - IGMP BCP152 - DNS Proxy Implementation Guidelines BCP123 - Observed DNS Resolution Misbehavior Sobre o assunto DNSSEC, eu penso que ambos tem razão. DNSSEC aumenta sim o risco de ataques UDP fundados em amplificação; não porque ele facilite mas porque gera respostas maiores. No entanto isso é um problema maior que do DNSSEC, é do DNS em si, sua natureza e as características milenares (sim em Internet meses valem anos e décadas milénios hehehe) dos protocolos que usamos, IPv4, BGPv4, comunicação unicast, e pouca capacidade de roteadores de borda de implementar mecanismos, ainda que leves, de controle e filtro. Como eu disse no e-mail citado hehehe, sem esculachar ninguém que fique claro, falta sim responsabilidades dos operadores de rede, e não estou falando de operadores de provedores de 1, 2, 10Gbit/s como temos no Brasil, por incrível que pareça os pequenos que proporcionalmente vão crescendo, tem se mostrado mais responsáveis com seus Linux, BSD, VyOS, RouterOS do que grandes operadoras, em terrinha tupiniquim nominalmente Oi e Telefonica por exemplo e em algumas regiões até a NET que permite que se Spoof IP até falso (RFCP1918/BCP5) dentro de suas redes. Em um mundo com BCPs implementadas, com DNSSEC, IPv6 e S-BGP, estaremos mais seguros, tanto em termos citados na conversa quanto em termos de continuidade de negócio. O que aconteceu em 2003 com Spamhaus aconteceu em Dezembro com a Sony, antes disso com a PSN de novo. E em menor volume acontece todos os dias, vejam na GTER o tanto de gente sofrendo com DDoS UDP de origens forjadas. A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP Amplification. Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não é. Falta de acesso a informação não é. Todos deveriam começar devorando as referências abaixo: http://bcp.nic.br/ http://bcp.nic.br/antispoofing/ E depois
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com escreveu: 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC É, não contribuir só ajuda a piorar. não usar DNSSEC não piora em nada as amplificações ao contrário ajuda Se cada um fizer sua parte, já é algo. eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem ataques e me usando pra isso o djb, autor do qmail, não é das pessoas que mais admiro inclusive o abandonware do qmail dele é um dos q fazem query type ANY mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que DNSSEC é uma arma na mão de kids Eu implemento BCPs (principalmente rpf-check, proteção de route engines, etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. não ter problemas não é sinônimo de não ser causa de problemas se isso um dia acontecer talvez você mude de opinião o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um trafego astronômico com um shell script, wget+dig pouco depois disso vimos o maior ddos da historia contra o spamhaus foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto com recursivo aberto quanto apenas autoritativos, desse trafego segundo a cloudfare mais de 80% em volume (quantidade não frequência) eram respostas de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, SPOF, Random ID Guessing os problemas que o DNSSEC cria ou exponencialmente amplia são os de disponibilidade (ou falta dela) então entre a a escolha de disponibilidade vs autenticidade, cada um faz a sua, eu fiz a minha a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e desleixo dos sysadmins nem pelo aumento da tarefas operacionais na manutenção do DNS bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem DNSSEC todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing como vetor primário de ataque risco, se esses 99% do mundo continuarem sem DNSSEC o mundo será um lugar mais seguro enfim, a diferença entre a vacina e o veneno é a dosagem http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf http://cr.yp.to/talks/2009.08.10/slides.pdf http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp https://twitter.com/hashbreaker/status/246746124222865409 -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com escreveu: 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler rss rs rs por mim desliga em um mundo onde ninguém segue BCP nenhuma ninguém tem filtros ingress mínimos diversas aplicações ainda fazem consultas q=ANY onde milhões de androids infectados são vetores de início de amplificação nesse mundo, eu troco explicitamente a confidencialidade pela disponibilidade e desligo DNSSEC É, não contribuir só ajuda a piorar. Se cada um fizer sua parte, já é algo. Eu implemento BCPs (principalmente rpf-check, proteção de route engines, etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Eu utilizado o servido do gratisdns.de muito bom. On 06-01-2015 11:18, Leonardo Augusto wrote: Olá, Preciso um servidor de dns free, para master e slave. Alguém usa algo assim e/ou recomenda algúm ? Abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Eu utilizado o servido do gratidns.de muito bom. On 06-01-2015 11:18, Leonardo Augusto wrote: Olá, Preciso um servidor de dns free, para master e slave. Alguém usa algo assim e/ou recomenda algúm ? Abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com escreveu: Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA Pelo contrário, se tiver, LIGA. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
dns.he.net Abraços -- Marcus Grando marcus (at) sbh.eng.br mnag (at) FreeBSD.org fb.com/marcus.grando @marcusgrando On Tue, Jan 6, 2015 at 11:18 AM, Leonardo Augusto lalin...@gmail.com wrote: Olá, Preciso um servidor de dns free, para master e slave. Alguém usa algo assim e/ou recomenda algúm ? Abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
2015-01-06 11:18 GMT-02:00 Leonardo Augusto lalin...@gmail.com: Olá, Preciso um servidor de dns free, para master e slave. Alguém usa algo assim e/ou recomenda algúm ? Próprio Registro.br faz isso. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Olá, Preciso um servidor de dns free, para master e slave. Alguém usa algo assim e/ou recomenda algúm ? Abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
2015-01-06 15:34 GMT-02:00 Eduardo Schoedler lis...@esds.com.br: Em 6 de janeiro de 2015 15:24, Evandro Nunes evandronune...@gmail.com escreveu: 1) https://www.cloudns.net 2) cloudflare.com/dns se dizem o mais rápido do mundo: http://blog.cloudflare.com/cloudflare-fastest-free-dns-among-fastest-dns/ Não esqueçam de ver se tem DNSSEC. exatamente e se tiver DESLIGA rsss afinal creio que o objetivo principal pra hospedar em uma infra de responsa fora da sua é a disponibilidade -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Em 6 de janeiro de 2015 15:24, Evandro Nunes evandronune...@gmail.com escreveu: 1) https://www.cloudns.net 2) cloudflare.com/dns se dizem o mais rápido do mundo: http://blog.cloudflare.com/cloudflare-fastest-free-dns-among-fastest-dns/ Não esqueçam de ver se tem DNSSEC. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
