DNS a DHCP

Dan Lukes dan at obluda.cz
Mon Aug 21 11:41:09 CEST 2006


Jaroslav Votruba napsal/wrote, On 08/21/06 06:30:
>> DDNS pomoci DHCP daemona je dalsi dira, ale pomoci symetrickeho nebo nedej Boze asytmetrickych klicu je to zase o 
>> neco bezpecnejsi.

> mohl bych poprosit o nejake podrobnosti?Na ceskych strankach jsem nasel 
> neco  o DDNS jen pro novella a beos.Na googleni se chystam dnes.

	Dynamicke updaty DNS jsou predevsim protokol (spise rozsireni 
protokolu). Neexistuje DDNS "pro Novella" nebo "Beos" - maximalne 
konkretni implementace nejakeho DNS serveru pro konkretni OS.

	Protokol je o schopnosti klientskych stanic menit obsah DNS zony 
(napriklad pote, co koncova stanice ziska pres DHCP konkretni adresu, 
vlozi do DNS zaznam pro sve jmeno a tuto adresu - a take - konzistentni 
reverz do reverzni zony).

	To je prirozeny bezpecnostni problem - neni zadouci, aby obsah zony 
mohl editovat uplne kdokoliv a zabezpeceni neni uplne trivialni 
zalezitost (obzvlast kdyz si uvedomime, ze DNS probiha prevazne po UDP a 
update je otazkou jednoho paketu, ktery mohl odeslat kdokoliv a 
zfalsovat odesilaci IP). Pro autorizaci pozadavku se pouziva 
podepisovani z DNSSEC - to je ovsem treba spravne nakonfigurovat.

	Detailne viz RFC 2136 a 2137. V tom druhem doporucuji zejmena kapitolu 
pet, s obzvlastnim zretelem na vetu prvni.

	V praxi je o neco bezpecnejsi nedovolit provadeni updatu stanicim 
(navic by se vsechny musely nakonfigurovat - Windows sice defaultne 
update posilaji, ale neautentizovany, coz je realne nepouzitelne) a 
misto toho dovolit posilani updatu DHCP serveru, ktery adresu pridelil. 
Ale i tak se muze i mala chyba v konfiguraci vymstit.

	Nejrozsireneji DNS server, ktery podporuje dynamicke update je BIND 
(ano, to je v zakladni instalaci FreeBSD).

						Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list