DNS a DHCP
Dan Lukes
dan at obluda.cz
Mon Aug 21 11:41:09 CEST 2006
Jaroslav Votruba napsal/wrote, On 08/21/06 06:30:
>> DDNS pomoci DHCP daemona je dalsi dira, ale pomoci symetrickeho nebo nedej Boze asytmetrickych klicu je to zase o
>> neco bezpecnejsi.
> mohl bych poprosit o nejake podrobnosti?Na ceskych strankach jsem nasel
> neco o DDNS jen pro novella a beos.Na googleni se chystam dnes.
Dynamicke updaty DNS jsou predevsim protokol (spise rozsireni
protokolu). Neexistuje DDNS "pro Novella" nebo "Beos" - maximalne
konkretni implementace nejakeho DNS serveru pro konkretni OS.
Protokol je o schopnosti klientskych stanic menit obsah DNS zony
(napriklad pote, co koncova stanice ziska pres DHCP konkretni adresu,
vlozi do DNS zaznam pro sve jmeno a tuto adresu - a take - konzistentni
reverz do reverzni zony).
To je prirozeny bezpecnostni problem - neni zadouci, aby obsah zony
mohl editovat uplne kdokoliv a zabezpeceni neni uplne trivialni
zalezitost (obzvlast kdyz si uvedomime, ze DNS probiha prevazne po UDP a
update je otazkou jednoho paketu, ktery mohl odeslat kdokoliv a
zfalsovat odesilaci IP). Pro autorizaci pozadavku se pouziva
podepisovani z DNSSEC - to je ovsem treba spravne nakonfigurovat.
Detailne viz RFC 2136 a 2137. V tom druhem doporucuji zejmena kapitolu
pet, s obzvlastnim zretelem na vetu prvni.
V praxi je o neco bezpecnejsi nedovolit provadeni updatu stanicim
(navic by se vsechny musely nakonfigurovat - Windows sice defaultne
update posilaji, ale neautentizovany, coz je realne nepouzitelne) a
misto toho dovolit posilani updatu DHCP serveru, ktery adresu pridelil.
Ale i tak se muze i mala chyba v konfiguraci vymstit.
Nejrozsireneji DNS server, ktery podporuje dynamicke update je BIND
(ano, to je v zakladni instalaci FreeBSD).
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list