Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-09 Por tôpico ae moura
  Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em 
  geral Hahaha
  
 
 huauhauhuhaa longe de mim, não foi a intenção jamais :-)
 
k SeiVejamos...
 No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as 
 atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as 
 que eu recomendo e que estão associadas a essa excelente discussão:
Ótima iniciativa uma certificação forçar pelo menos o básico
 
 A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP 
 Amplification.
 
 Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus 
 SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? 
 Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não 
 é. Falta de acesso a informação não é.
 
 Todos deveriam começar devorando as referências abaixo:
O que o patrick disse:- prezados sysadmins, não sejam irresponsáveis e 
negligentes, devorem as BCP e as referências do NIC
O que ele quis dizer:- imbecís filhos da mãe, sejam menos medíocre e engulam as 
bcp
rsssEsculacho educado é assim ;-)
 
 http://bcp.nic.br/
 http://bcp.nic.br/antispoofing/
 
 E depois irem pras BCP não cobertas em português.
 
 --
 Patrick Tracanelli
  
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Leonardo Augusto
2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com:

 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:

  Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
  escreveu:
 
   2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:
  
Em 6 de janeiro de 2015 15:42, Evandro Nunes 
 evandronune...@gmail.com
  
escreveu:
   
  Não esqueçam de ver se tem DNSSEC.

 exatamente
 e se tiver DESLIGA

   
Pelo contrário, se tiver, LIGA.
  
   --
Eduardo Schoedler
   
  
   rss rs rs
   por mim desliga
  
   em um mundo onde ninguém segue BCP nenhuma
   ninguém tem filtros ingress mínimos
   diversas aplicações ainda fazem consultas q=ANY
   onde milhões de androids infectados são vetores de início de
 amplificação
   nesse mundo, eu troco explicitamente a confidencialidade pela
   disponibilidade
   e desligo DNSSEC
 
  É, não contribuir só ajuda a piorar.
 

 não usar DNSSEC não piora em nada as amplificações
 ao contrário ajuda


  Se cada um fizer sua parte, já é algo.
 

 eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
 ataques e me usando pra isso

 o djb, autor do qmail, não é das pessoas que mais admiro
 inclusive o abandonware do qmail dele é um dos q fazem query type ANY
 mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
 DNSSEC é uma arma na mão de kids

 Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
  etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
 

 não ter problemas não é sinônimo de não ser causa de problemas
 se isso um dia acontecer talvez você mude de opinião
 o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
 trafego astronômico com um shell script,  wget+dig
 pouco depois disso vimos o maior ddos da historia contra o spamhaus
 foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
 com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
 cloudfare mais de 80% em volume (quantidade não frequência) eram respostas
 de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado

 os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
 SPOF, Random ID Guessing
 os problemas que o DNSSEC cria ou exponencialmente amplia são os de
 disponibilidade (ou falta dela)
 então entre a a escolha de disponibilidade vs autenticidade, cada um faz a
 sua, eu fiz a minha
 a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e
 desleixo dos sysadmins
 nem pelo aumento da tarefas operacionais na manutenção do DNS

 bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
 DNSSEC
 todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado
 para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing
 como vetor primário de ataque risco, se esses 99% do mundo continuarem sem
 DNSSEC o mundo será um lugar mais seguro

 enfim, a diferença entre a vacina e o veneno é a dosagem


 http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/

 http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
 http://cr.yp.to/talks/2009.08.10/slides.pdf
 http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
 https://twitter.com/hashbreaker/status/246746124222865409



Muito obrigado a todos pelas respostas, o assunto vai longe.
Meu caso  é bem simples...

Interressante os comentários em volta do DNSSEC.

Abraço a todos.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Fabricio Lima
Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe


Mas q porra eh BCPs?

Fabricio

Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com
escreveu:

 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com
 javascript:;:

  2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
 
   Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
 javascript:;
   escreveu:
  
2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
   
 Em 6 de janeiro de 2015 15:42, Evandro Nunes 
  evandronune...@gmail.com javascript:;
   
 escreveu:

   Não esqueçam de ver se tem DNSSEC.
 
  exatamente
  e se tiver DESLIGA
 

 Pelo contrário, se tiver, LIGA.
   
--
 Eduardo Schoedler

   
rss rs rs
por mim desliga
   
em um mundo onde ninguém segue BCP nenhuma
ninguém tem filtros ingress mínimos
diversas aplicações ainda fazem consultas q=ANY
onde milhões de androids infectados são vetores de início de
  amplificação
nesse mundo, eu troco explicitamente a confidencialidade pela
disponibilidade
e desligo DNSSEC
  
   É, não contribuir só ajuda a piorar.
  
 
  não usar DNSSEC não piora em nada as amplificações
  ao contrário ajuda
 
 
   Se cada um fizer sua parte, já é algo.
  
 
  eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
  ataques e me usando pra isso
 
  o djb, autor do qmail, não é das pessoas que mais admiro
  inclusive o abandonware do qmail dele é um dos q fazem query type ANY
  mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
  DNSSEC é uma arma na mão de kids
 
  Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
   etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
  
 
  não ter problemas não é sinônimo de não ser causa de problemas
  se isso um dia acontecer talvez você mude de opinião
  o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
  trafego astronômico com um shell script,  wget+dig
  pouco depois disso vimos o maior ddos da historia contra o spamhaus
  foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
  com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
  cloudfare mais de 80% em volume (quantidade não frequência) eram
 respostas
  de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado
 
  os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
  SPOF, Random ID Guessing
  os problemas que o DNSSEC cria ou exponencialmente amplia são os de
  disponibilidade (ou falta dela)
  então entre a a escolha de disponibilidade vs autenticidade, cada um faz
 a
  sua, eu fiz a minha
  a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça
 e
  desleixo dos sysadmins
  nem pelo aumento da tarefas operacionais na manutenção do DNS
 
  bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
  DNSSEC
  todos os outros 99% do planeta cujo domínio raramente sera
 usado/evenenado
  para ataques de phishing e qualquer outro tipo de fraude que tenha
 spoofing
  como vetor primário de ataque risco, se esses 99% do mundo continuarem
 sem
  DNSSEC o mundo será um lugar mais seguro
 
  enfim, a diferença entre a vacina e o veneno é a dosagem
 
 
 
 http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
 
 
 http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
  http://cr.yp.to/talks/2009.08.10/slides.pdf
  http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
  https://twitter.com/hashbreaker/status/246746124222865409
 
 
 
 Muito obrigado a todos pelas respostas, o assunto vai longe.
 Meu caso  é bem simples...

 Interressante os comentários em volta do DNSSEC.

 Abraço a todos.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico ae moura


 Date: Thu, 8 Jan 2015 15:28:32 -0200
 From: lis...@fabriciolima.com.br
 To: freebsd@fug.com.br
 Subject: Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
 
 Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe
 
 
 Mas q porra eh BCPs?
São melhores práticas.Best Common Practices.Acho que no caso eles estão falando 
da BCP38.A melhor discussão do assunto foi iniciada pelo mestre Patrick 
Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a primeira 
mensagem) pois toda a conversa teve gente de alto nível 
opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html
Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em 
geral Hahaha

 
 Fabricio
 
 Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com
 escreveu:
 
  2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com
  javascript:;:
 
   2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
  javascript:;:
  
Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
  javascript:;
escreveu:
   
 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
  javascript:;:

  Em 6 de janeiro de 2015 15:42, Evandro Nunes 
   evandronune...@gmail.com javascript:;

  escreveu:
 
Não esqueçam de ver se tem DNSSEC.
  
   exatamente
   e se tiver DESLIGA
  
 
  Pelo contrário, se tiver, LIGA.

 --
  Eduardo Schoedler
 

 rss rs rs
 por mim desliga

 em um mundo onde ninguém segue BCP nenhuma
 ninguém tem filtros ingress mínimos
 diversas aplicações ainda fazem consultas q=ANY
 onde milhões de androids infectados são vetores de início de
   amplificação
 nesse mundo, eu troco explicitamente a confidencialidade pela
 disponibilidade
 e desligo DNSSEC
   
É, não contribuir só ajuda a piorar.
   
  
   não usar DNSSEC não piora em nada as amplificações
   ao contrário ajuda
  
  
Se cada um fizer sua parte, já é algo.
   
  
   eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
   ataques e me usando pra isso
  
   o djb, autor do qmail, não é das pessoas que mais admiro
   inclusive o abandonware do qmail dele é um dos q fazem query type ANY
   mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
   DNSSEC é uma arma na mão de kids
  
   Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
   
  
   não ter problemas não é sinônimo de não ser causa de problemas
   se isso um dia acontecer talvez você mude de opinião
   o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
   trafego astronômico com um shell script,  wget+dig
   pouco depois disso vimos o maior ddos da historia contra o spamhaus
   foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
   com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
   cloudfare mais de 80% em volume (quantidade não frequência) eram
  respostas
   de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado
  
   os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
   SPOF, Random ID Guessing
   os problemas que o DNSSEC cria ou exponencialmente amplia são os de
   disponibilidade (ou falta dela)
   então entre a a escolha de disponibilidade vs autenticidade, cada um faz
  a
   sua, eu fiz a minha
   a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça
  e
   desleixo dos sysadmins
   nem pelo aumento da tarefas operacionais na manutenção do DNS
  
   bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
   DNSSEC
   todos os outros 99% do planeta cujo domínio raramente sera
  usado/evenenado
   para ataques de phishing e qualquer outro tipo de fraude que tenha
  spoofing
   como vetor primário de ataque risco, se esses 99% do mundo continuarem
  sem
   DNSSEC o mundo será um lugar mais seguro
  
   enfim, a diferença entre a vacina e o veneno é a dosagem
  
  
  
  http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
  
  
  http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
   http://cr.yp.to/talks/2009.08.10/slides.pdf
   http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
   https://twitter.com/hashbreaker/status/246746124222865409
  
  
  
  Muito obrigado a todos pelas respostas, o assunto vai longe.
  Meu caso  é bem simples...
 
  Interressante os comentários em volta do DNSSEC.
 
  Abraço a todos.
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 
 
 -- 
 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.
 -
 Histórico: http://www.fug.com.br

Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Otavio Augusto
Em 8 de janeiro de 2015 15:28, Fabricio Lima
lis...@fabriciolima.com.br escreveu:
 Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe


 Mas q porra eh BCPs?
Melhores práticas para se implementar/configurar/administrar algum recurso
vide : http://www.rfc-editor.org/categories/rfc-best.html



 Fabricio

 Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto lalin...@gmail.com
 escreveu:

 2015-01-07 20:53 GMT-02:00 Evandro Nunes evandronune...@gmail.com
 javascript:;:

  2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
 
   Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
 javascript:;
   escreveu:
  
2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br
 javascript:;:
   
 Em 6 de janeiro de 2015 15:42, Evandro Nunes 
  evandronune...@gmail.com javascript:;
   
 escreveu:

   Não esqueçam de ver se tem DNSSEC.
 
  exatamente
  e se tiver DESLIGA
 

 Pelo contrário, se tiver, LIGA.
   
--
 Eduardo Schoedler

   
rss rs rs
por mim desliga
   
em um mundo onde ninguém segue BCP nenhuma
ninguém tem filtros ingress mínimos
diversas aplicações ainda fazem consultas q=ANY
onde milhões de androids infectados são vetores de início de
  amplificação
nesse mundo, eu troco explicitamente a confidencialidade pela
disponibilidade
e desligo DNSSEC
  
   É, não contribuir só ajuda a piorar.
  
 
  não usar DNSSEC não piora em nada as amplificações
  ao contrário ajuda
 
 
   Se cada um fizer sua parte, já é algo.
  
 
  eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
  ataques e me usando pra isso
 
  o djb, autor do qmail, não é das pessoas que mais admiro
  inclusive o abandonware do qmail dele é um dos q fazem query type ANY
  mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
  DNSSEC é uma arma na mão de kids
 
  Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
   etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.
  
 
  não ter problemas não é sinônimo de não ser causa de problemas
  se isso um dia acontecer talvez você mude de opinião
  o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
  trafego astronômico com um shell script,  wget+dig
  pouco depois disso vimos o maior ddos da historia contra o spamhaus
  foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
  com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
  cloudfare mais de 80% em volume (quantidade não frequência) eram
 respostas
  de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado
 
  os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
  SPOF, Random ID Guessing
  os problemas que o DNSSEC cria ou exponencialmente amplia são os de
  disponibilidade (ou falta dela)
  então entre a a escolha de disponibilidade vs autenticidade, cada um faz
 a
  sua, eu fiz a minha
  a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça
 e
  desleixo dos sysadmins
  nem pelo aumento da tarefas operacionais na manutenção do DNS
 
  bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
  DNSSEC
  todos os outros 99% do planeta cujo domínio raramente sera
 usado/evenenado
  para ataques de phishing e qualquer outro tipo de fraude que tenha
 spoofing
  como vetor primário de ataque risco, se esses 99% do mundo continuarem
 sem
  DNSSEC o mundo será um lugar mais seguro
 
  enfim, a diferença entre a vacina e o veneno é a dosagem
 
 
 
 http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
 
 
 http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
  http://cr.yp.to/talks/2009.08.10/slides.pdf
  http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
  https://twitter.com/hashbreaker/status/246746124222865409
 
 
 
 Muito obrigado a todos pelas respostas, o assunto vai longe.
 Meu caso  é bem simples...

 Interressante os comentários em volta do DNSSEC.

 Abraço a todos.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



 --
 [ ]'s
 Fabricio Lima
 When your hammer is C++, everything begins to look like a thumb.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Otavio Augusto
-
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-08 Por tôpico Patrick Tracanelli

 On 08/01/2015, at 16:42, ae moura aemoura@outlook.com wrote:
 
 
 
 Date: Thu, 8 Jan 2015 15:28:32 -0200
 From: lis...@fabriciolima.com.br
 To: freebsd@fug.com.br
 Subject: Re: [FUG-BR][OFF-TOPIC] Free DNS host, alguém recomenda ?
 
 Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe
 
 
 Mas q porra eh BCPs?
 São melhores práticas.Best Common Practices.Acho que no caso eles estão 
 falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre 
 Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a 
 primeira mensagem) pois toda a conversa teve gente de alto nível 
 opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html
 Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em 
 geral Hahaha
 

huauhauhuhaa longe de mim, não foi a intenção jamais :-)

Na verdade é Best Current Practices.

Mas concordo, todos sysadmins e operadores de rede deveriam sim conhecer, é o 
mínimo, o básico da responsabilidade. 
Na verdade concordo tanto que estamos revisando os requisitos da certificação 
BSDP e um dos testes práticos será implementar recomendações da BCP usando 
ferramentas nativas no sistema BSD que o cara for se certificar. É a forma como 
o BSD Certification Group pode fazer pra ajudar a ter admins mais responsáveis, 
focando-os a estudar e se preparar mesmo se no exame dele esse item funcional 
não for pedido (ja que é random tasks).

No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as 
atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as 
que eu recomendo e que estão associadas a essa excelente discussão:

BCP - Best Current Practices - Index:

http://www.rfc-editor.org/categories/rfc-best.html

*BCP38 - Network Ingress Filtering (dica: verify reverse path, verify source 
reachability, antispoof no IPFW, antispoof no PF)
*BCP84 - Ingress Filtering for Multihomed Networks  
*BCP140 - Preventing Use of Recursive Nameservers in Reflector Attacks (dicas: 
acls e filtros no BIND/unbound, split horizon, views, any cast DNS)
BCP189 - An Acceptable Use Policy for New ICMP Types and Codes  (man 8 icmp, 
pf, ipfw, sysctls)
BCP186 - Recommendations on Filtering of IPv4 Packets Containing IPv4 Options  
BCP122 - Classless Inter-domain Routing (CIDR)
BCP132 - AAA
BCP30 - Anti-Spam Recommendations for SMTP MTAs  
BCP5 - RFC1918 - Address Allocation for Private Internets
BCP16 - Selection and Operation of Secondary DNS Servers  

* mais aplicáveis a essa discussão sobre DNS

Existem outras BCP/RFC que eu queria colocar como requisito de estudo da BSDP 
mas infelizmente não cabem devido ao escopo da certificação.

BCP114 - BGP Communities for Data Collection  
BCP21 - Expectations for Computer Security Incident Response  
BCP20 - Classless IN-ADDR.ARPA delegation  
BCP6 - Guidelines for creation, selection, and registration of an Autonomous 
System (AS)  
BCP57 - IGMP
BCP152 - DNS Proxy Implementation Guidelines  
BCP123 - Observed DNS Resolution Misbehavior  

Sobre o assunto DNSSEC, eu penso que ambos tem razão. DNSSEC aumenta sim o 
risco de ataques UDP fundados em amplificação; não porque ele facilite mas 
porque gera respostas maiores. No entanto isso é um problema maior que do 
DNSSEC, é do DNS em si, sua natureza e as características milenares (sim em 
Internet meses valem anos e décadas milénios hehehe) dos protocolos que usamos, 
IPv4, BGPv4, comunicação unicast, e pouca capacidade de roteadores de borda de 
implementar mecanismos, ainda que leves, de controle e filtro. Como eu disse no 
e-mail citado hehehe, sem esculachar ninguém que fique claro, falta sim 
responsabilidades dos operadores de rede, e não estou falando de operadores de 
provedores de 1, 2, 10Gbit/s como temos no Brasil, por incrível que pareça os 
pequenos que proporcionalmente vão crescendo, tem se mostrado mais responsáveis 
com seus Linux, BSD, VyOS, RouterOS do que grandes operadoras, em terrinha 
tupiniquim nominalmente Oi e Telefonica por exemplo e em algumas regiões até a 
NET que permite que se Spoof IP até falso (RFCP1918/BCP5) dentro de suas redes.

Em um mundo com BCPs implementadas, com DNSSEC, IPv6 e S-BGP, estaremos mais 
seguros, tanto em termos citados na conversa quanto em termos de continuidade 
de negócio. O que aconteceu em 2003 com Spamhaus aconteceu em Dezembro com a 
Sony, antes disso com a PSN de novo. E em menor volume acontece todos os dias, 
vejam na GTER o tanto de gente sofrendo com DDoS UDP de origens forjadas.

A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP 
Amplification.

Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus 
SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? 
Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não é. 
Falta de acesso a informação não é.

Todos deveriam começar devorando as referências abaixo:

http://bcp.nic.br/
http://bcp.nic.br/antispoofing/

E depois

Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-07 Por tôpico Evandro Nunes
2015-01-07 19:59 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:

 Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
 escreveu:

  2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:
 
   Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com
 
   escreveu:
  
 Não esqueçam de ver se tem DNSSEC.
   
exatamente
e se tiver DESLIGA
   
  
   Pelo contrário, se tiver, LIGA.
 
  --
   Eduardo Schoedler
  
 
  rss rs rs
  por mim desliga
 
  em um mundo onde ninguém segue BCP nenhuma
  ninguém tem filtros ingress mínimos
  diversas aplicações ainda fazem consultas q=ANY
  onde milhões de androids infectados são vetores de início de amplificação
  nesse mundo, eu troco explicitamente a confidencialidade pela
  disponibilidade
  e desligo DNSSEC

 É, não contribuir só ajuda a piorar.


não usar DNSSEC não piora em nada as amplificações
ao contrário ajuda


 Se cada um fizer sua parte, já é algo.


eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem
ataques e me usando pra isso

o djb, autor do qmail, não é das pessoas que mais admiro
inclusive o abandonware do qmail dele é um dos q fazem query type ANY
mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que
DNSSEC é uma arma na mão de kids

Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
 etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.


não ter problemas não é sinônimo de não ser causa de problemas
se isso um dia acontecer talvez você mude de opinião
o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um
trafego astronômico com um shell script,  wget+dig
pouco depois disso vimos o maior ddos da historia contra o spamhaus
foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto
com recursivo aberto quanto apenas autoritativos, desse trafego segundo a
cloudfare mais de 80% em volume (quantidade não frequência) eram respostas
de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado

os problemas que o DNSSEC resolve são de autenticidade, cache poisoning,
SPOF, Random ID Guessing
os problemas que o DNSSEC cria ou exponencialmente amplia são os de
disponibilidade (ou falta dela)
então entre a a escolha de disponibilidade vs autenticidade, cada um faz a
sua, eu fiz a minha
a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e
desleixo dos sysadmins
nem pelo aumento da tarefas operacionais na manutenção do DNS

bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem
DNSSEC
todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado
para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing
como vetor primário de ataque risco, se esses 99% do mundo continuarem sem
DNSSEC o mundo será um lugar mais seguro

enfim, a diferença entre a vacina e o veneno é a dosagem

http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/
http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf
http://cr.yp.to/talks/2009.08.10/slides.pdf
http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp
https://twitter.com/hashbreaker/status/246746124222865409




 --
 Eduardo Schoedler
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-07 Por tôpico Evandro Nunes
2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:

 Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com
 escreveu:

   Não esqueçam de ver se tem DNSSEC.
 
  exatamente
  e se tiver DESLIGA
 

 Pelo contrário, se tiver, LIGA.

--
 Eduardo Schoedler


rss rs rs
por mim desliga

em um mundo onde ninguém segue BCP nenhuma
ninguém tem filtros ingress mínimos
diversas aplicações ainda fazem consultas q=ANY
onde milhões de androids infectados são vetores de início de amplificação
nesse mundo, eu troco explicitamente a confidencialidade pela
disponibilidade
e desligo DNSSEC
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-07 Por tôpico Eduardo Schoedler
Em 7 de janeiro de 2015 19:50, Evandro Nunes evandronune...@gmail.com
escreveu:

 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:

  Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com
  escreveu:
 
Não esqueçam de ver se tem DNSSEC.
  
   exatamente
   e se tiver DESLIGA
  
 
  Pelo contrário, se tiver, LIGA.

 --
  Eduardo Schoedler
 

 rss rs rs
 por mim desliga

 em um mundo onde ninguém segue BCP nenhuma
 ninguém tem filtros ingress mínimos
 diversas aplicações ainda fazem consultas q=ANY
 onde milhões de androids infectados são vetores de início de amplificação
 nesse mundo, eu troco explicitamente a confidencialidade pela
 disponibilidade
 e desligo DNSSEC



É, não contribuir só ajuda a piorar.
Se cada um fizer sua parte, já é algo.

Eu implemento BCPs (principalmente rpf-check, proteção de route engines,
etc), habilito DNSSEC nos servidores DNS e nunca tive problemas.

-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-07 Por tôpico Vitor Hugo

Eu utilizado o servido do gratisdns.de muito bom.
On 06-01-2015 11:18, Leonardo Augusto wrote:

Olá,

Preciso um servidor de dns free, para master e slave.

Alguém usa algo assim e/ou recomenda algúm ?

Abraço
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-07 Por tôpico Vitor Hugo

Eu utilizado o servido do gratidns.de muito bom.
On 06-01-2015 11:18, Leonardo Augusto wrote:

Olá,

Preciso um servidor de dns free, para master e slave.

Alguém usa algo assim e/ou recomenda algúm ?

Abraço
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-07 Por tôpico Eduardo Schoedler
Em 6 de janeiro de 2015 15:42, Evandro Nunes evandronune...@gmail.com
escreveu:

  Não esqueçam de ver se tem DNSSEC.

 exatamente
 e se tiver DESLIGA


Pelo contrário, se tiver, LIGA.

--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-06 Por tôpico Marcus Grando
dns.he.net

Abraços

--
Marcus Grando
marcus (at) sbh.eng.br
mnag (at) FreeBSD.org
fb.com/marcus.grando
@marcusgrando

On Tue, Jan 6, 2015 at 11:18 AM, Leonardo Augusto lalin...@gmail.com
wrote:

 Olá,

 Preciso um servidor de dns free, para master e slave.

 Alguém usa algo assim e/ou recomenda algúm ?

 Abraço
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-06 Por tôpico Eduardo Schoedler
2015-01-06 11:18 GMT-02:00 Leonardo Augusto lalin...@gmail.com:

 Olá,

 Preciso um servidor de dns free, para master e slave.

 Alguém usa algo assim e/ou recomenda algúm ?


Próprio Registro.br faz isso.


-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-06 Por tôpico Evandro Nunes
2015-01-06 15:34 GMT-02:00 Eduardo Schoedler lis...@esds.com.br:

 Em 6 de janeiro de 2015 15:24, Evandro Nunes evandronune...@gmail.com
 escreveu:

  1) https://www.cloudns.net
 
  2) cloudflare.com/dns
  se dizem o mais rápido do mundo:
 
 http://blog.cloudflare.com/cloudflare-fastest-free-dns-among-fastest-dns/
 

 Não esqueçam de ver se tem DNSSEC.


exatamente
e se tiver DESLIGA
rsss

afinal creio que o objetivo principal pra hospedar em uma infra de responsa
fora da sua é a disponibilidade



 --
 Eduardo Schoedler
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-06 Por tôpico Evandro Nunes
1) https://www.cloudns.net

2) cloudflare.com/dns
se dizem o mais rápido do mundo:
http://blog.cloudflare.com/cloudflare-fastest-free-dns-among-fastest-dns/


2015-01-06 11:21 GMT-02:00 Marcus Grando mar...@sbh.eng.br:

 dns.he.net

 Abraços

 --
 Marcus Grando
 marcus (at) sbh.eng.br
 mnag (at) FreeBSD.org
 fb.com/marcus.grando
 @marcusgrando

 On Tue, Jan 6, 2015 at 11:18 AM, Leonardo Augusto lalin...@gmail.com
 wrote:

  Olá,
 
  Preciso um servidor de dns free, para master e slave.
 
  Alguém usa algo assim e/ou recomenda algúm ?
 
  Abraço
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

2015-01-06 Por tôpico Eduardo Schoedler
Em 6 de janeiro de 2015 15:24, Evandro Nunes evandronune...@gmail.com
escreveu:

 1) https://www.cloudns.net

 2) cloudflare.com/dns
 se dizem o mais rápido do mundo:
 http://blog.cloudflare.com/cloudflare-fastest-free-dns-among-fastest-dns/


Não esqueçam de ver se tem DNSSEC.

--
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd