Re: isc-dhcpd и ddns
On Mon, Nov 04, 2013 at 09:22:19PM +0400, Victor Wagner wrote:
> On 2013.11.04 at 20:51:48 +0400, Eugene Berdnikov wrote:
>
> > On Mon, Nov 04, 2013 at 10:27:09AM +0400, Victor Wagner wrote:
> > > 1. Машина с несколькими интерфейсами. Хочется чтобы она получала одно и
> > > то же имя независимо от того по Wifi она подключена в сети или по
> > > ethernet.
> >
> > Невозможно по той причине, что к такому имени нужно привязать две записи
> > TXT, для разных интерфейсов. ISC dhcpd на это явно не рассчитан. Формат
>
> Что значит невозможно? А что, возможности как-нибудь совсем оторвать
> создание записи TXT нет?
Через конфиг, наверное, нет. Но через задний сорц всё возможно. :)
> > Нужно выяснить, от каких именно полей считается MD5 для составления TXT.
> > Возможно, отцы вставили туда vendor-id или ещё какую-нибудь хрень,
> > из-за чего разные операционки "конфликтуют"... Вообще, непонятно кому
> > и зачем пришла в голову идея писать в TXT md5-hash и терять при этом
> > информацию, которая может быть кому-то полезной.
>
> Это очевидно, почему. Запись TXT в DNS публичная. Поэтому потенциальный
> атакующий не должен иметь возможности, зная эту запись от чужой машины,
> подделать её dhcp-запрос. Иначе теряется весь смысл этой самой
> TXT-записи. Хотя непонятно что мешает атакующему отсниффить этот самый
> DHCP-запрос, он же бродкастный.
Тот, кто может вставить DNS-у update, имеет массу способов навредить,
включая удаление записей и создание новых, вплоть до DoS-атак.
Для этого не нужно подделывать запросы клиента.
По этой причине следует принимать апдейты только от dhcpd, идентифицируя
его по ip-шнику или ключу. На практике, правда, не всё так сладко... :(
--
Eugene Berdnikov
Reply to: