[Technik] (vorab) Ankündigung: Umstrukturierung/Aufwertung der SW-Pakete

[Paul Hink]

Michael Hoennig <michael at hostsharing.net> wrote:

>> >> Das hilft nichts, wenn das Paket, in dem die übergeordnete Domain
>> >> liegt, und das Paket des "Angreifers" die gleiche IP-Adresse
>> >> haben.
>> >
>> > ein Angriff, der aber sofort auffliegen wird
>> 
>> Nicht unbedingt. Wenn man es geschickt genug anstellt, sind so sehr
>> subtile Angriffe realisierbar.
>
> wie denn? Wird alles protokolliert und wer außer dem Paketinhaber
> sollte es getan haben?

Es ging mir nicht darum, ob man den Angriff im Nachhinein
nachvollziehen kann, sondern darum, dass der Angriff sehr lange
unbemerkt bleiben kann. Indem man z.B. abgefangene E-Mails an den
legitimen Empfänger weiterleitet.

>> Beim jetzigen SW hast du recht. Beim manuellen Aufschalten im DW
>> nicht, da muss das Zonefile der übergeordneten Domain nicht
>> verändert werden, weil unsere Nameserver bei Vorhandensein eines
>> Zonefiles für eine Subdomain für Anfragen nach dieser Subdomain
>> automatisch dieses Zonefile (statt des Zonefiles der übergeordneten
>> Domain) verwenden.
>
> Sicher? Ohne NS Zeile für die Subdomain und ohne dass deren IP#
> zufällig eh dieselbe ist.

Ja. Das hatten wir getestet, bevor wir die nth-level-Domain-
Unterstützung eingeführt haben.

> [...]

> WEil ich eben davon ausging, dass man die Subdomain eh extra an die
> Nameserver delegieren muss. Bist du dir 100%ig sicher, dass das nicht
> so ist?

Ja. Das kannst du z.B. an www.hostsharing.net nachvollziehen: Im
Zonefile von hostsharing.net gibt es keinen RR zur Subdomain "www" und
keinen Wildcard-RR, trotzdem antworten die DNS h01 und dns[123] auf
Basis des Zonefiles der aufgeschalteten Domain www.hostsharing.net auf
Anfragen nach www.hostsharing.net.

Paul