Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
> On 08/01/2015, at 16:42, ae moura wrote: > > > >> Date: Thu, 8 Jan 2015 15:28:32 -0200 >> From: lis...@fabriciolima.com.br >> To: freebsd@fug.com.br >> Subject: Re: [FUG-BR][OFF-TOPIC] Free DNS host, alguém recomenda ? >> >> Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe >> >> >> Mas q porra eh BCPs? > São melhores práticas.Best Common Practices.Acho que no caso eles estão > falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre > Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a > primeira mensagem) pois toda a conversa teve gente de alto nível > opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html > Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em > geral Hahaha > huauhauhuhaa longe de mim, não foi a intenção jamais :-) Na verdade é Best Current Practices. Mas concordo, todos sysadmins e operadores de rede deveriam sim conhecer, é o mínimo, o básico da responsabilidade. Na verdade concordo tanto que estamos revisando os requisitos da certificação BSDP e um dos testes práticos será implementar recomendações da BCP usando ferramentas nativas no sistema BSD que o cara for se certificar. É a forma como o BSD Certification Group pode fazer pra ajudar a ter admins mais responsáveis, focando-os a estudar e se preparar mesmo se no exame dele esse item funcional não for pedido (ja que é random tasks). No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as que eu recomendo e que estão associadas a essa excelente discussão: BCP - Best Current Practices - Index: http://www.rfc-editor.org/categories/rfc-best.html *BCP38 - Network Ingress Filtering (dica: verify reverse path, verify source reachability, antispoof no IPFW, antispoof no PF) *BCP84 - Ingress Filtering for Multihomed Networks *BCP140 - Preventing Use of Recursive Nameservers in Reflector Attacks (dicas: acls e filtros no BIND/unbound, split horizon, views, any cast DNS) BCP189 - An Acceptable Use Policy for New ICMP Types and Codes (man 8 icmp, pf, ipfw, sysctls) BCP186 - Recommendations on Filtering of IPv4 Packets Containing IPv4 Options BCP122 - Classless Inter-domain Routing (CIDR) BCP132 - AAA BCP30 - Anti-Spam Recommendations for SMTP MTAs BCP5 - RFC1918 - Address Allocation for Private Internets BCP16 - Selection and Operation of Secondary DNS Servers * mais aplicáveis a essa discussão sobre DNS Existem outras BCP/RFC que eu queria colocar como requisito de estudo da BSDP mas infelizmente não cabem devido ao escopo da certificação. BCP114 - BGP Communities for Data Collection BCP21 - Expectations for Computer Security Incident Response BCP20 - Classless IN-ADDR.ARPA delegation BCP6 - Guidelines for creation, selection, and registration of an Autonomous System (AS) BCP57 - IGMP BCP152 - DNS Proxy Implementation Guidelines BCP123 - Observed DNS Resolution Misbehavior Sobre o assunto DNSSEC, eu penso que ambos tem razão. DNSSEC aumenta sim o risco de ataques UDP fundados em amplificação; não porque ele facilite mas porque gera respostas maiores. No entanto isso é um problema maior que do DNSSEC, é do DNS em si, sua natureza e as características milenares (sim em Internet meses valem anos e décadas milénios hehehe) dos protocolos que usamos, IPv4, BGPv4, comunicação unicast, e pouca capacidade de roteadores de borda de implementar mecanismos, ainda que leves, de controle e filtro. Como eu disse no e-mail citado hehehe, sem esculachar ninguém que fique claro, falta sim responsabilidades dos operadores de rede, e não estou falando de operadores de provedores de 1, 2, 10Gbit/s como temos no Brasil, por incrível que pareça os pequenos que proporcionalmente vão crescendo, tem se mostrado mais responsáveis com seus Linux, BSD, VyOS, RouterOS do que grandes operadoras, em terrinha tupiniquim nominalmente Oi e Telefonica por exemplo e em algumas regiões até a NET que permite que se Spoof IP até falso (RFCP1918/BCP5) dentro de suas redes. Em um mundo com BCPs implementadas, com DNSSEC, IPv6 e S-BGP, estaremos mais seguros, tanto em termos citados na conversa quanto em termos de continuidade de negócio. O que aconteceu em 2003 com Spamhaus aconteceu em Dezembro com a Sony, antes disso com a PSN de novo. E em menor volume acontece todos os dias, vejam na GTER o tanto de gente sofrendo com DDoS UDP de origens forjadas. A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP Amplification. Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não é. Falta de acesso a informação não é. Todos deveriam começar devorando as referências abaixo: http://bcp.nic.br/ http://bcp.nic.br/antispoofing/ E
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
> Date: Thu, 8 Jan 2015 15:28:32 -0200 > From: lis...@fabriciolima.com.br > To: freebsd@fug.com.br > Subject: Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ? > > Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe > > > Mas q porra eh BCPs? São melhores práticas.Best Common Practices.Acho que no caso eles estão falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a primeira mensagem) pois toda a conversa teve gente de alto nível opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em geral Hahaha > > Fabricio > > Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto > escreveu: > > > 2015-01-07 20:53 GMT-02:00 Evandro Nunes > >: > > > > > 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler > >: > > > > > > > Em 7 de janeiro de 2015 19:50, Evandro Nunes > > > > > > escreveu: > > > > > > > > > 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler > >: > > > > > > > > > > > Em 6 de janeiro de 2015 15:42, Evandro Nunes < > > > evandronune...@gmail.com > > > > > > > > > > > escreveu: > > > > > > > > > > > > > > Não esqueçam de ver se tem DNSSEC. > > > > > > > > > > > > > > exatamente > > > > > > > e se tiver DESLIGA > > > > > > > > > > > > > > > > > > > Pelo contrário, se tiver, LIGA. > > > > > > > > > > -- > > > > > > Eduardo Schoedler > > > > > > > > > > > > > > > > rss rs rs > > > > > por mim desliga > > > > > > > > > > em um mundo onde ninguém segue BCP nenhuma > > > > > ninguém tem filtros ingress mínimos > > > > > diversas aplicações ainda fazem consultas q=ANY > > > > > onde milhões de androids infectados são vetores de início de > > > amplificação > > > > > nesse mundo, eu troco explicitamente a confidencialidade pela > > > > > disponibilidade > > > > > e desligo DNSSEC > > > > > > > > É, não contribuir só ajuda a piorar. > > > > > > > > > > não usar DNSSEC não piora em nada as amplificações > > > ao contrário ajuda > > > > > > > > > > Se cada um fizer sua parte, já é algo. > > > > > > > > > > eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem > > > ataques e me usando pra isso > > > > > > o djb, autor do qmail, não é das pessoas que mais admiro > > > inclusive o abandonware do qmail dele é um dos q fazem query type ANY > > > mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que > > > DNSSEC é uma arma na mão de kids > > > > > > Eu implemento BCPs (principalmente rpf-check, proteção de route engines, > > > > etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. > > > > > > > > > > não ter problemas não é sinônimo de não ser causa de problemas > > > se isso um dia acontecer talvez você mude de opinião > > > o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um > > > trafego astronômico com um shell script, wget+dig > > > pouco depois disso vimos o maior ddos da historia contra o spamhaus > > > foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto > > > com recursivo aberto quanto apenas autoritativos, desse trafego segundo a > > > cloudfare mais de 80% em volume (quantidade não frequência) eram > > respostas > > > de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado > > > > > > os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, > > > SPOF, Random ID Guessing > > > os problemas que o DNSSEC cria ou exponencialmente amplia são os de > > > disponibilidade (ou falta dela) > > > então entre a a escolha de disponibilidade vs autenticidade, cada um faz > > a > > > sua, eu fiz a minha > > > a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça > > e > > > desleixo dos sysadmins > > > nem pelo aumento da tarefas operacionais na manutenção do DNS > > > > > > bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem > > > DNSSEC > > > todos os outros 99% do planeta cujo domínio raramente sera > > usado/evenenado > > > para ataques de phishing e qualquer outro tipo de fraude que tenha > > spoofing > > > como vetor primário de ataque risco, se esses 99% do mundo continuarem > > sem > > > DNSSEC o mundo será um lugar mais seguro > > > > > > enfim, a diferença entre a vacina e o veneno é a dosagem > > > > > > > > > > > http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ > > > > > > > > http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf > > > http://cr.yp.to/talks/2009.08.10/slides.pdf > > > http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp > > > https://twitter.com/hashbreaker/status/246746124222865409 > > > > > > > > > > > Muito obrigado a todos pelas respostas, o assunto vai longe. > > Meu caso é bem simples... > > > > Interressante os comentários em volta do DNSSEC. > > > > Abraço a todos. > > - > > Histórico: http://www
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Em 8 de janeiro de 2015 15:28, Fabricio Lima escreveu: > Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe > > > Mas q porra eh BCPs? Melhores práticas para se implementar/configurar/administrar algum recurso vide : http://www.rfc-editor.org/categories/rfc-best.html > > Fabricio > > Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto > escreveu: > >> 2015-01-07 20:53 GMT-02:00 Evandro Nunes > >: >> >> > 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler > >: >> > >> > > Em 7 de janeiro de 2015 19:50, Evandro Nunes > > >> > > escreveu: >> > > >> > > > 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler > >: >> > > > >> > > > > Em 6 de janeiro de 2015 15:42, Evandro Nunes < >> > evandronune...@gmail.com >> > > > >> > > > > escreveu: >> > > > > >> > > > > > > Não esqueçam de ver se tem DNSSEC. >> > > > > > >> > > > > > exatamente >> > > > > > e se tiver DESLIGA >> > > > > > >> > > > > >> > > > > Pelo contrário, se tiver, LIGA. >> > > > >> > > > -- >> > > > > Eduardo Schoedler >> > > > > >> > > > >> > > > rss rs rs >> > > > por mim desliga >> > > > >> > > > em um mundo onde ninguém segue BCP nenhuma >> > > > ninguém tem filtros ingress mínimos >> > > > diversas aplicações ainda fazem consultas q=ANY >> > > > onde milhões de androids infectados são vetores de início de >> > amplificação >> > > > nesse mundo, eu troco explicitamente a confidencialidade pela >> > > > disponibilidade >> > > > e desligo DNSSEC >> > > >> > > É, não contribuir só ajuda a piorar. >> > > >> > >> > não usar DNSSEC não piora em nada as amplificações >> > ao contrário ajuda >> > >> > >> > > Se cada um fizer sua parte, já é algo. >> > > >> > >> > eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem >> > ataques e me usando pra isso >> > >> > o djb, autor do qmail, não é das pessoas que mais admiro >> > inclusive o abandonware do qmail dele é um dos q fazem query type ANY >> > mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que >> > DNSSEC é uma arma na mão de kids >> > >> > Eu implemento BCPs (principalmente rpf-check, proteção de route engines, >> > > etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. >> > > >> > >> > não ter problemas não é sinônimo de não ser causa de problemas >> > se isso um dia acontecer talvez você mude de opinião >> > o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um >> > trafego astronômico com um shell script, wget+dig >> > pouco depois disso vimos o maior ddos da historia contra o spamhaus >> > foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto >> > com recursivo aberto quanto apenas autoritativos, desse trafego segundo a >> > cloudfare mais de 80% em volume (quantidade não frequência) eram >> respostas >> > de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado >> > >> > os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, >> > SPOF, Random ID Guessing >> > os problemas que o DNSSEC cria ou exponencialmente amplia são os de >> > disponibilidade (ou falta dela) >> > então entre a a escolha de disponibilidade vs autenticidade, cada um faz >> a >> > sua, eu fiz a minha >> > a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça >> e >> > desleixo dos sysadmins >> > nem pelo aumento da tarefas operacionais na manutenção do DNS >> > >> > bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem >> > DNSSEC >> > todos os outros 99% do planeta cujo domínio raramente sera >> usado/evenenado >> > para ataques de phishing e qualquer outro tipo de fraude que tenha >> spoofing >> > como vetor primário de ataque risco, se esses 99% do mundo continuarem >> sem >> > DNSSEC o mundo será um lugar mais seguro >> > >> > enfim, a diferença entre a vacina e o veneno é a dosagem >> > >> > >> > >> http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ >> > >> > >> http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf >> > http://cr.yp.to/talks/2009.08.10/slides.pdf >> > http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp >> > https://twitter.com/hashbreaker/status/246746124222865409 >> > >> > >> > >> Muito obrigado a todos pelas respostas, o assunto vai longe. >> Meu caso é bem simples... >> >> Interressante os comentários em volta do DNSSEC. >> >> Abraço a todos. >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > -- > [ ]'s > Fabricio Lima > When your hammer is C++, everything begins to look like a thumb. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/hist
Re: [FUG-BR] fork do pfSense
Taca-le pal nesse carrinho. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] fork do pfSense
Obrigado a todos pelas opiniões e Patrick pelos esclarecimentos do "aprovado" e do @sullrichGarga o que e ESF e voce pessoalmente acham?E o Jack? Testou?Insisto porque eu gostei, a interface web me agradou muito e agradou a equipe aqui. Pro que precisamos ele atende em recursos porque não é o caso para tudo que o pfSense tem.Então queria colher mais opiniões sobre estabilidade antes de por em produção uma vez que eu não consigo fazer muitos testes de bancada antes de por em uso devido a recursos limitados kkk > Date: Tue, 6 Jan 2015 15:11:35 -0200 > From: evandronune...@gmail.com > To: freebsd@fug.com.br > Subject: Re: [FUG-BR] fork do pfSense > > 2015-01-06 10:12 GMT-02:00 Rafael Aquino : > > > > > - Mensagem original - > > > De: "ae moura" > > > Para: freebsd@fug.com.br > > > Enviadas: Terça-feira, 6 de janeiro de 2015 9:21:16 > > > Assunto: [FUG-BR] fork do pfSense > > > > > > Ontem instalei um fork do pfSense chamado OPNSense.Dizem que é um "fork > > > aprovado" (o que quer que isso signifique).Parece ter participação do > > Scott > > > Ullrich criador do pfSense. > > > Alguém ja testou?O que achou?Instalei, vi diversas diferenças mas alguns > > bugs > > > em Virtualbox.Fiquei receoso em por em produção.Quem ja testou, pra > > opinar? > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > Bom dia a todos... > > > > Eu não conhecia esta ferramenta, e como fã do PFSense prontamente instalei > > (agora a pouco) > > > > eu desconhecia também > instalei para testar, bonito tema mesmo > o restante o que tem parece igual ao pfsense > mas tem pouca coisa > me parece um fork para vender hardware > ou seja diretamente conflitante com o modelo de negocio da netgate rss > > Mas até o momento senti falta de um recurso vital: o gerenciador de > > pacotes... > > E também da tradução para português. > > > > No mais, parece bem estável (de novo: são os mesmos recursos do pfsense em > > um FreeBSD 10.0 p15). > > > > > verdade > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe Mas q porra eh BCPs? Fabricio Em quinta-feira, 8 de janeiro de 2015, Leonardo Augusto escreveu: > 2015-01-07 20:53 GMT-02:00 Evandro Nunes >: > > > 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler >: > > > > > Em 7 de janeiro de 2015 19:50, Evandro Nunes > > > > escreveu: > > > > > > > 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler >: > > > > > > > > > Em 6 de janeiro de 2015 15:42, Evandro Nunes < > > evandronune...@gmail.com > > > > > > > > > escreveu: > > > > > > > > > > > > Não esqueçam de ver se tem DNSSEC. > > > > > > > > > > > > exatamente > > > > > > e se tiver DESLIGA > > > > > > > > > > > > > > > > Pelo contrário, se tiver, LIGA. > > > > > > > > -- > > > > > Eduardo Schoedler > > > > > > > > > > > > > rss rs rs > > > > por mim desliga > > > > > > > > em um mundo onde ninguém segue BCP nenhuma > > > > ninguém tem filtros ingress mínimos > > > > diversas aplicações ainda fazem consultas q=ANY > > > > onde milhões de androids infectados são vetores de início de > > amplificação > > > > nesse mundo, eu troco explicitamente a confidencialidade pela > > > > disponibilidade > > > > e desligo DNSSEC > > > > > > É, não contribuir só ajuda a piorar. > > > > > > > não usar DNSSEC não piora em nada as amplificações > > ao contrário ajuda > > > > > > > Se cada um fizer sua parte, já é algo. > > > > > > > eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem > > ataques e me usando pra isso > > > > o djb, autor do qmail, não é das pessoas que mais admiro > > inclusive o abandonware do qmail dele é um dos q fazem query type ANY > > mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que > > DNSSEC é uma arma na mão de kids > > > > Eu implemento BCPs (principalmente rpf-check, proteção de route engines, > > > etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. > > > > > > > não ter problemas não é sinônimo de não ser causa de problemas > > se isso um dia acontecer talvez você mude de opinião > > o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um > > trafego astronômico com um shell script, wget+dig > > pouco depois disso vimos o maior ddos da historia contra o spamhaus > > foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto > > com recursivo aberto quanto apenas autoritativos, desse trafego segundo a > > cloudfare mais de 80% em volume (quantidade não frequência) eram > respostas > > de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado > > > > os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, > > SPOF, Random ID Guessing > > os problemas que o DNSSEC cria ou exponencialmente amplia são os de > > disponibilidade (ou falta dela) > > então entre a a escolha de disponibilidade vs autenticidade, cada um faz > a > > sua, eu fiz a minha > > a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça > e > > desleixo dos sysadmins > > nem pelo aumento da tarefas operacionais na manutenção do DNS > > > > bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem > > DNSSEC > > todos os outros 99% do planeta cujo domínio raramente sera > usado/evenenado > > para ataques de phishing e qualquer outro tipo de fraude que tenha > spoofing > > como vetor primário de ataque risco, se esses 99% do mundo continuarem > sem > > DNSSEC o mundo será um lugar mais seguro > > > > enfim, a diferença entre a vacina e o veneno é a dosagem > > > > > > > http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ > > > > > http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf > > http://cr.yp.to/talks/2009.08.10/slides.pdf > > http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp > > https://twitter.com/hashbreaker/status/246746124222865409 > > > > > > > Muito obrigado a todos pelas respostas, o assunto vai longe. > Meu caso é bem simples... > > Interressante os comentários em volta do DNSSEC. > > Abraço a todos. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- [ ]'s Fabricio Lima When your hammer is C++, everything begins to look like a thumb. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?
2015-01-07 20:53 GMT-02:00 Evandro Nunes : > 2015-01-07 19:59 GMT-02:00 Eduardo Schoedler : > > > Em 7 de janeiro de 2015 19:50, Evandro Nunes > > escreveu: > > > > > 2015-01-07 14:14 GMT-02:00 Eduardo Schoedler : > > > > > > > Em 6 de janeiro de 2015 15:42, Evandro Nunes < > evandronune...@gmail.com > > > > > > > escreveu: > > > > > > > > > > Não esqueçam de ver se tem DNSSEC. > > > > > > > > > > exatamente > > > > > e se tiver DESLIGA > > > > > > > > > > > > > Pelo contrário, se tiver, LIGA. > > > > > > -- > > > > Eduardo Schoedler > > > > > > > > > > rss rs rs > > > por mim desliga > > > > > > em um mundo onde ninguém segue BCP nenhuma > > > ninguém tem filtros ingress mínimos > > > diversas aplicações ainda fazem consultas q=ANY > > > onde milhões de androids infectados são vetores de início de > amplificação > > > nesse mundo, eu troco explicitamente a confidencialidade pela > > > disponibilidade > > > e desligo DNSSEC > > > > É, não contribuir só ajuda a piorar. > > > > não usar DNSSEC não piora em nada as amplificações > ao contrário ajuda > > > > Se cada um fizer sua parte, já é algo. > > > > eu estou fazendo a minha, não ajudando chin xang xai peis a amplificarem > ataques e me usando pra isso > > o djb, autor do qmail, não é das pessoas que mais admiro > inclusive o abandonware do qmail dele é um dos q fazem query type ANY > mas ainda assim se tem um ponto que o DJB tem toda razão do mundo é que > DNSSEC é uma arma na mão de kids > > Eu implemento BCPs (principalmente rpf-check, proteção de route engines, > > etc), habilito DNSSEC nos servidores DNS e nunca tive problemas. > > > > não ter problemas não é sinônimo de não ser causa de problemas > se isso um dia acontecer talvez você mude de opinião > o proprio DJB em 2009 palestrou e divulgou um paper como amplificar um > trafego astronômico com um shell script, wget+dig > pouco depois disso vimos o maior ddos da historia contra o spamhaus > foram 90Gbit/s de amplificação DNS causada por diversos servidores, tanto > com recursivo aberto quanto apenas autoritativos, desse trafego segundo a > cloudfare mais de 80% em volume (quantidade não frequência) eram respostas > de consultas DNSSEC nunca feitas pelo spamhaus mas com IP forjado > > os problemas que o DNSSEC resolve são de autenticidade, cache poisoning, > SPOF, Random ID Guessing > os problemas que o DNSSEC cria ou exponencialmente amplia são os de > disponibilidade (ou falta dela) > então entre a a escolha de disponibilidade vs autenticidade, cada um faz a > sua, eu fiz a minha > a ampla adoção de DNSSEC não caminha a passos lentos apenas por preguiça e > desleixo dos sysadmins > nem pelo aumento da tarefas operacionais na manutenção do DNS > > bancos, sites de e-commerce que priorizarem a autenticidade, que coloquem > DNSSEC > todos os outros 99% do planeta cujo domínio raramente sera usado/evenenado > para ataques de phishing e qualquer outro tipo de fraude que tenha spoofing > como vetor primário de ataque risco, se esses 99% do mundo continuarem sem > DNSSEC o mundo será um lugar mais seguro > > enfim, a diferença entre a vacina e o veneno é a dosagem > > > http://www.internetsociety.org/deploy360/blog/2014/09/cloudflare-re-affirms-goal-of-dnssec-support-by-end-of-2014/ > > http://london50.icann.org/en/schedule/wed-dnssec/presentation-dnssec-dns-proxying-25jun14-en.pdf > http://cr.yp.to/talks/2009.08.10/slides.pdf > http://dankaminsky.com/2011/01/05/djb-ccc/#dnsamp > https://twitter.com/hashbreaker/status/246746124222865409 > > > Muito obrigado a todos pelas respostas, o assunto vai longe. Meu caso é bem simples... Interressante os comentários em volta do DNSSEC. Abraço a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
