Re: isc-dhcpd и ddns
On 2013.11.04 at 23:01:11 +0400, Eugene Berdnikov wrote:
> >
> > Это очевидно, почему. Запись TXT в DNS публичная. Поэтому потенциальный
> > атакующий не должен иметь возможности, зная эту запись от чужой машины,
> > подделать её dhcp-запрос. Иначе теряется весь смысл этой самой
> > TXT-записи. Хотя непонятно что мешает атакующему отсниффить этот самый
> > DHCP-запрос, он же бродкастный.
>
> Тот, кто может вставить DNS-у update, имеет массу способов навредить,
> включая удаление записей и создание новых, вплоть до DoS-атак.
> Для этого не нужно подделывать запросы клиента.
Речь идет о том, чтобы возможность ПРОЧИТАТЬ запись TXT не добавляла
информации, необходимой для подделки dhcp-запроса. Поэтому туда и не
кладут в открытом виде ни Mac-адрес, ни dhcp-client-id.
> По этой причине следует принимать апдейты только от dhcpd, идентифицируя
> его по ip-шнику или ключу. На практике, правда, не всё так сладко... :(
Апдейты, естественно принимаются только от dhcpd (ну еще от
client-connect скрипта openvpn), который идентифицируется по ключу.
Вопрос в том как бы оторвать от dhcpd излишнюю паранойю и насколько
нерабочий там режим adhoc.
> --
> Eugene Berdnikov
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 20131104190111.GC12703@sie.protva.ru">http://lists.debian.org/[🔎] 20131104190111.GC12703@sie.protva.ru
>
Reply to: