[uanog] Яндекс все?

Volodymyr Litovka doka.ua at gmail.com
Tue May 30 23:33:13 EEST 2017 

Дима, я правильно понимаю, что DNSSEC - удел нердов?

В каких домашних маршрутизаторах это всё поддерживается?

Ну и сколько домашних хомячков на винде (а) включат и (б) внимательно 
проверят, что всё путьком?


On 5/30/17 7:09 PM, Dmitry Kohmanyuk wrote:
> On 30 трав. 2017 р., at 16:02, Sergey Myasoedov <sm at netartgroup.com> wrote:
>>>> блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают “что случилось”.
>>>>> Если включен DNSSEC, то никакой подмены на уровне DNS не получится.
>>>> Это шутка? Много ли клиентов ISP держат у себя валидирующий резолвер?
> Достаточно много ISP *в мире* так делают и некоторые из них не отвечают данными из подписанного домена, если подпись RRSIG не сошлась с хешем из DS.
>
> Но да, это в "развитых" странах, не в xSU.
>
>>> Т.е. ты хочешь сказать, что если домен подписан, то можно поменять его IP и все будет работать?
>>> Я правильно тебя понял?
> Можно теоретически даже подписать домен и надеяться, что прокатит :)
>
>> Я хочу сказать, что если ты доверяешь своему провайдеру в вопросе DNS или твой провайдер перехватывает твои DNS-запросы и отвечает на них сам (есть и такие), естественно, ставя нули в нужных битах - можно подменять адрес хоть google.com и всё будет работать.
> Пока клиент не проверяет бит AD - да.
> Или если провайдер его подделывает.
>
> В идеале нужно TLS transport до ISP и далее валидация. Или сразу у клиента свой stub+cache resolver с DNSSEC.
> Но тогда проще свой unbound поставить на ноутбук или на роутер с openwrt.
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170530/436f8f03/attachment.html>

More information about the uanog mailing list