[Technik] (vorab) Ankündigung: Umstrukturierung/Aufwertung der SW-Pakete

Michael Hoennig michael at hostsharing.net
Tue Oct 17 21:02:57 CEST 2006 

Hallo Paul,


> >> Das hilft nichts, wenn das Paket, in dem die übergeordnete Domain
> >> liegt, und das Paket des "Angreifers" die gleiche IP-Adresse haben.
> >
> > ein Angriff, der aber sofort auffliegen wird
> 
> Nicht unbedingt. Wenn man es geschickt genug anstellt, sind so sehr
> subtile Angriffe realisierbar.

wie denn? Wird alles protokolliert und wer außer dem Paketinhaber sollte
es getan haben?

> Beim jetzigen SW hast du recht. Beim manuellen Aufschalten im DW nicht,
> da muss das Zonefile der übergeordneten Domain nicht verändert werden,
> weil unsere Nameserver bei Vorhandensein eines Zonefiles für eine
> Subdomain für Anfragen nach dieser Subdomain automatisch dieses
> Zonefile (statt des Zonefiles der übergeordneten Domain) verwenden.

Sicher? Ohne NS Zeile für die Subdomain und ohne dass deren IP# zufällig
eh dieselbe ist. Etwas seltsam bis unerwartet wäre das schon, wenn das
wirklich so ist.

> > Dann ist aber Delegation nach aussen und innerhalb HS anders zu
> > handhaben, auch nicht schön.
> 
> Das hast du bei deinem Vorschlag auch: Für Delegationen nach außen
> brauchst du NS-Records, 

Dass die intern nicht gebraucht wurden, war mir nicht klar.

> für die Validierung der internen Delegation
> setzt du auf einen A-RR.

Nein. Das war nur in dem unvollständige Beispiel-Skript hier so, welche
ich nur skiziiert hatte. NIcht in dem Skript, was ich testweise mal
erstellt hatte. Stand auch in dem Skript drin, dass die
Delegations-Prüfung erstmal weggelassen wäre.

> > Und das Skript müsste dann noch die automatischen Zonenfiles patchen,
> 
> Warum?

WEil ich eben davon ausging, dass man die Subdomain eh extra an die
Nameserver delegieren muss. Bist du dir 100%ig sicher, dass das nicht so
ist? Bei gleicher IP# fällt das ja eh kaum auf, weil man in dem
delegierten Paketen meist nur die Subdomain verwendet.

	Michael


-- 
Hostsharing eG | c/o Stilflut | Friedensallee 120 | D-22763 Hamburg
phone+fax: +49 700 HOSTSHARING (= +49 700 46787427)
Homepage: http://www.hostsharing.net
Networking: http://www.openbc.com/go/invuid/Michael_Hoennig

More information about the Technik mailing list