Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
- Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
- From: "Peter Zyumbilev" <bivol@xxxxxx>
- Date: Sat, 18 Oct 2003 16:02:07 +0300
Imam edno vaprosche ama mnogo tapo....
Zasto prosto ne se napravi zapis za sitefinder.verisign.com - da otgovrai
falshivo IP
V smisal da se napravi SOA za sitefinder.verisign.com i da oride na nash
server(ako sme ISP) i da kazva "sorry, ama is not valid..."
??
Tam ste go chaka edin index.php ili index.pl i s mod_rewrite vsciki requesti
kam sitefinder.verisign.com/nesto si ste hodiat na
sitefinder.verisign.com/hostnotfound.php. a pak sled kato e nasocheno kam
nashe IP...
Pozdravi,
BIVOL
--
----- Original Message -----
From: "Vesselin Kolev" <vlk@xxxxxxxxxxxxxxxxx>
To: <lug-bg@xxxxxxxxxxxxxxxxxx>
Sent: Saturday, October 18, 2003 1:47 PM
Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Всъщност май до сега имаше само коментари по темата. Някой
> ще сподели ли дали е пуснал решението. По-специално ме
> интересува имал ли е проблеми с пача за версия 9.2.2. Аз
> лично не съм имал, но някои хора се бяха оплаквали по
> чуждестранните листи.
>
> Имам една такава идея, която не знам дали ще се понрави на
> повечето, но нищо не пречи тя да бъде изложена все пак. Пък
> ако се приеме - приеме, ако не - здраве да е.
>
> Всеки, който иска да пусне филтрите, за които вече се говори,
> но не се чувства уверен или още не може да схване смисъла
> (просто има твърде много работа и мислите му за заети някъде
> другаде по разбираеми причини), може да ми се обади чрез
> писмо на vlk@xxxxxxxxxxxxxxxxx или на vesso@xxxxxxxxxxxxxxx и
> ще намеря време да му помогна да сложи филтъра, да компилира
> нова версия на BIND и да я постави в chroot, да управлява
> отделечено демона чрез ключ с помощта на rndc и др. екстри.
>
> Специално за chroot и отдалеченото управление трябва да се
> напише едно разбрано ръководство, което да помогне на хората.
> Май ще трябва аз да го напиша.
>
> Целта е не само да кажем на хората "ползвайте филтъра за да
> избягвате измамата с имената", а да покажем, че сме готови да
> помогнем безвъзмездно, когато става дума за общата ни сигурност.
>
> Мисля, че в списъка има и доста други можещи и знаещи по темата
> хора, които могат да помогнат.
>
> Ще е добре в момента, когато VeriSign пуснат spoof сървиса си, ние
> вече да ме подготвени и да не усетим проблема.
>
> Накрая искам да кажа следното. Има няколко сървъра за имена на ISP,
> които са отворени за публични запитвания. Това е похвално, но аз не
> съм сигурен, че те не препращат заявките за обслужване, т.е. че не
> изпълняват рекурсия. Идеята е тези публични сървъри за имена да
> имат филтри и ако някой клиент знае, че сървъра за имена на неговия
> доставчик не прилага филтъра, да може да използва публичния сървър
> за имена. Казвам това, защото наскоро след един инцидент, се установи,
> че сървъра за имена ns.bol.bg не изпълнява рекурсии, а препраща
> заявките към ns.spnet.net. В това няма нищо лошо стига ns.spnet.net да
> приложи филтъра. Подобни съмнения имам за ns.bitex.com. За ns.uni-sofia.bg
> и ady.uni-sofia.bg ще проверя дали са в рекурсия или не (имам съмнения,
> че използват сървърите за имена на NetisSat за forwarders). Ще се опитам
> да накарам ръководството на Университетския изчислителен центъра да
> разреши да преинсталираме ISC BIND и да приложим филтъра. За ns2.digsys.bg
> ще е малко трудно, защото смяната на софтуера носи риск от прекъсване
> на подаване на заявки за известно време, а сървъра е и
> достоверен за TLD BG, но днес ще потърся Даниел Калчев по телефона и
> ще видим както можем да направим (макар, че той е на мнение, че не
> трябва да се правят филтри, а да се накара ICANN да стегне VeriSign,
> което виждаме, че не стана обаче). Може би и при мен ще пусна един
> публичен сървър за имена. SpNet биха помогнали неимоверно много, ако
> пуснат филтър върху ns.spnet.net.
>
> Накрая искам да кажа нещо за софтуера. Версия 9.2.3rc4 на ISC BIND може
> да се използва въпреки, че е RC. В нея не бяха намерени някакви особени
> бъгове и почти в същия вид ще бъде предложена като завършена версия.
> Чакам Mark Andrews тези дни официално да обяви новата версия.
>
> Засега rc версията и пачовете за версия 9.2.2 са достъпни за изтегляне от
> ftp://ftp.lcpe.uni-sofia.bg/LINUX/BIND. Там са и цифровите PGP подписи на
ISC
> върху тарболите. Моля проверявайте ги!!! Ако искате теглете и от
> ftp://ftp.isc.org/pub/bind9. Изборът е ваш.
>
> Поздрави
> Весо
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.7 (GNU/Linux)
>
> iD8DBQE/kRow+48lZPXaa+MRAqeSAJ97Gqqt4hRkuWaVLUwn3IK07inzPQCgobzn
> hRn8ApDjUlYW7kaQQBk3fAY=
> =SFiY
> -----END PGP SIGNATURE-----
>
>
============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
>
============================================================================
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|