Re: lug-bg: Sendmail+advanced + Again!
- Subject: Re: lug-bg: Sendmail+advanced + Again!
- From: vlk@xxxxxxxxxxxxxxxxx (Vesselin Kolev)
- Date: Thu, 8 Nov 2001 19:03:27 +0200
Az obiknoveno ne davam silni kvalifikacii na edno ili
drugo ikazvane. Niama da napravia taka i sega. Shtom
na niakogo mu se struva presileno nalichieto na Stealth
DNS-server, molia da ne polzva takav, a sa se opravia
s nalichnostite koito ima i tolkova...
Vse pak haide da kazhem shto za ptica e tova Steath
DNS i zashto se pravi.
Stealth server e takav DNS-server, koito dava authoritative
answer za dadena zona, bez da e upomenat s NS record v
definiciata na zonata. Celta na podoben server e da transferira
priasno kopie na dadena zona i da go pazi pri sebe si za
osashtestviavane za byrzi povikvania za sluzhebni celi.
Tova e nachin za otkrivane na spoofing. Za da e edin
server stealth, toi triabva da tegli zonata zadalzhitelno ot
mastera. Mozhe i da se napravi taka, stealth servera da e
vtori master za dadenata zona i zonalnia file da se replikira
ot originala. Ako ste s BIND i iskate da napravite taka, parvo
obmislete nachina, po koito da prehvyrliate faila na dadenata
zona. Arsenala e goliam: ftp, sftp, ssl. Ima edna tynkost...
v /etc/named.conf ukazhete za saotvetnata zona, za koito ste
stealth slednoto svoistvo:
notify no;
Taka pri promiana v zonata nashia master niama da podava
remote zaiavka za izpalnenie na rndc reload na slave serverite.
Obiknoveno stealth-servera podava otgovori na
zaiavki samo na opredleni hostove, napr. na mail-gateway i
na proxy-serveri. Pri realizacia s BIND se ukazva izrichno
zabrana za rekusria:
allow-recursion { };
Mozhete da prochetete i drugi neshta za stealth zonite. Opitaite
na
http://www.lcpe.uni-sofia.bg/~vlk/Documentation/BIND/Bv9ARM.pdf
Pozdravi
Vesselin
On Thursday 08 November 2001 11:49, you wrote:
> Purvo, izvinqvam se ako sum zasegnal nqkoj ....
>
> On Wed, 7 Nov 2001, Vesselin Kolev wrote:
> > Parvo, ia si nadnikni v zonata na tvoia domain!
> >
> > Samo lispva bastiona:
> >
> > dobrich.net mail exchanger = 20 mx1.telecoms.bg.
> > dobrich.net mail exchanger = 21 mx2.telecoms.bg.
> > dobrich.net mail exchanger = 22 mx3.telecoms.bg.
> > dobrich.net mail exchanger = 10 eos.dobrich.net.
> >
> > Vtoro mai niakoi hora ne sa stanali ot masata sled dobria zapoi s
> > bira... ili ne sa cheli ili ne sa iskali da prochetat tochno kakvo e
> > napisano i kakav e vlozhenia smisal vav vsichko tova. Shto se
> > kasae do preosmisliane na mrezhovata politica za translirane i
> > marshrutizacia na maila, az ne sam tolkova navatre v neshtata,
> > che da ia preosmisliam sam bez da sam nauchil vsichko po
> > vaprosa.
>
> Imah vpredvid, che ideqta im s bastion-a i neshtata kakto sa napraveni,
> pone spored mene imat po-dobur nachin , vupreki che tova veche opira do
> doverie i do horata, koito nastrojvat vutreshnite mrezhi i tehnite maiil
> relays... Kolkoto za po-gorniq setup, ideqta e takava - 10 mi e glavniq
> mail exchanger, na kojto sa mi i mailbox-ovete, a ostanalite sa v sluchaj
> che padne nqkoq liniq - q moqta do dostavchika, q nqkoq ot negovite, te i
> 3te sa prez 3 razlichni linii za poluchavaneto na poshta.
>
> > Sorry, che stavam otegchitelen za niakoi hora, no kakvo pyk,
> > malko informacia v poveche niama da navredi nikomu... stiga da
> > iska da ia chete.
> >
> > Parvo malko introdukcia. Povecheto MX-zapisi sa za predotvratiavane
> > na katastrofi i za uskoriavane na maila. Ako niakoi ne e zapoznat s
> > fizicheskia princip, che ne vinagi nai-kysia pyt e nai-kratak si e negov
> > problem. iskam da kazha, che mail-traffica na Sofiiskia universitet na
> > den e smushtavashto goliam. V nastoiashtia moment SU ima nai-goliamata
> > centralizirana clientska samoupravialiavashta se mrezha v BG. Ako niakoi
> > tuk vidi logovete na mail-traffica shte se izpoti. Chast ot traffica e i
> > para- ziten, napr. prosto otvoreni sessi na 25/tcp ot strana na razlichni
> > po vid pishman flooderi i hackeri, razpadnali se connekcii sas
> > mail-server v zapadno tambuktu, koito po shtastlivo stechenie na
> > obstoiatelstvata e na vryzka pri koiato se gubiat paketi a poniakoga i
> > samata vryzka izchezva za minuti. Sashtestvuvat oshte kup tormozeshti
> > maila factori, kato naprimer pisma s greshen podatel, koito niama na koi
> > da se vyrnat, s po-goliama dylzhina ot pozvolenata, timeouti ot vatreshni
> > serveri, chiito administratori za propusnali da gi vkliuchat... Na
> > posledno miasto da napomnia, che e-maila e osnovno sredstvo za
> > komunikacia v academichnite sredi. Edno kopie na statia izprateno ot edin
> > chovek na drug i sadarzhashto figuri i kartniki, mozhe da e nad 2 MB.
> >
> > Govoril sam s administratori na golemi komersialni dostavchici... Te ne
> > izpitvat tozi koshmar v takava stepen, zashtoto povecheto im clienti ili
> > imat server za mail, koito raboti na direct connection, ili pyk dialup
> > clientite izpolzvat webmail (hotmail, yahoo i t.n.). A i academichnite
> > sistemi vinagi sa bili cel na hora, zhaleshti da se uchat varhu
> > mrezhovata struktura... zatova se nalaga tam da se pravi bastion i maila
> > da se relayva. Vseki s leka raka kazva che edna ideia e divno bezmislena,
> > no pravi tova edisntveno ot svoia pozicia, bez da se zamislia, kakvi sa
> > tochno faktite i usloviata doveli do edno ili drugo reshenie...
>
> Za tova sum naistina suglasen ... podnasqm izvineniq, s tochno tezi
> momenti ne bqh zapoznat :)
> (p.s. vse pak mozhesh li ( t.e. imash li pravo i vuzmozhnost ) da
> suobshtish v cifri kolko e toq mail traffic, prosto mi e interesno :) )
>
> > Sega se premestvame leko vav prostranstvoto za da vidim kak e v CERN:
> >
> > cern.ch mail exchanger = 30 dxmint.cern.ch.
> > cern.ch mail exchanger = 10 smtp.cern.ch.
> > cern.ch mail exchanger = 15 mail7.cern.ch.
> > cern.ch mail exchanger = 20 mint.cern.ch.
> >
> > Tova koeto vizhdate malko lyzhe. Mail-serverite sa dosta poveche, no po-
> > goliamata chast sa zad bastion. Relayvaneto po serverite na otdeli e po
> > UUCP, ima kup VPN-i i dr. extri. Tazi organizacia ima ogromni i moshtni
> > serveri... dalech nad pentium na 166 i pak se e prezastrahovala ot
> > buri...
> >
> > Drug podhod ima Los Alamoskata nacionalna laboratoria, kadeto niakak ne
> > si vzimat administratori glupci, zashtoto sa grybnaka na nauchnata
> > deinost v otbranitelnia sector na USA:
> >
> > lanl.gov mail exchanger = 0 mailrelay2.lanl.gov.
> > lanl.gov mail exchanger = 0 mailrelay3.lanl.gov.
> > lanl.gov mail exchanger = 0 mailrelay1.lanl.gov.
> >
> > Tova tuk e mnogo hitar podhod. Naistina shapka svaliam na adninistratora
> > im. Vseki server poema sredno po 1/3 ot zaiavkite. Ochevidno, che tozi
> > server polzva sled tova za preprashtane na maila po zvena vytreshno
> > marshrutizirane, UUCP ili drug nachin za prehvyrliane na e-maila.
> > Mail-hostovete v GOV domaina ot pyrvo nivo obiknoiveno imat i drug skrit
> > mehanizam za uskoriavane na poshtata, a imenno stealth DNS serveri, koito
> > se izpolzvat samo i edinstveno ot serverite za internet uslugi. Te ne sa
> > dos- tapni za clienti i chesto paziat svezhi zonalni failove za byrz
> > dostap. Obs- sluzhvat DNS zaiavkite na mail-serverite mnogo byrzo i
> > poshtata ne se zastoiava v opashkata... Tova pesti vreme i resursi!
>
> mmmm ... interesno mi e kolko tochno trafik trqbva da pravqt
> mailserverite, che da se useti trafika v/u dns servera... Ne otrivcham ,
> che i tova e variant, no mi se vizhda malko presileno...
>
> > No mozhe bi nai-umnoto izpolzvane na poveche ot 1 MX recorda za
> > zonata e marsrutizaciata na maila po razlichni pytishta (dostavchici).
> >
> > Ta taka, mislia da spra dotuk i da otida da pia po edna bira... tymna!
>
> Dobra ideq :)
> (shte vzema da te cherpq edna takava :) )
>
> ===========================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
> http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora
|