Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)

[Hristo Erinin <erinin@xxxxxxxxx>]

Здравей,

Поздравления за добре написания документ.

On Fri, 17 Oct 2003 21:06:33 +0300
Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx> wrote:

>> Горните разсъждения са валидни само ако говорим за stock ISC BIND.
>> Нека не забравяме, че ISC BIND e софтуер с отворен код, и като такъв
>> може да бъде променян (и проверката свързана с горното съобщение за
>> грешка премахната изцяло).
>
>Ех... Добре, ще промениш изходния
>код и ще разрешиш NR "wildcard". И какво, ще си пуснеш един локален
>пачнат ISC BIND, на който ще се радваш само ти, защото нито една зона с
>"wildcard" NS RR няма да трансферира върху друг сървър за имена, защото
>парсера на тансфериращия сървър ще откаже обслужване като види такова
>нещо... Е, ако всичките ти сървъри за имена на домейна ти са си твои и
>зоните им никой не вижда (сиреч не може де се изпълни AXFR) може и
>номера ти да мине... ама за

Забравяш, че ISC BIND не е единственият DNS софтуер. Доколкото знам няма
стандарт който да забранява wildcard NS записи. Има още доста
имплементации, всяка от които може да са решили въпроса с wildcard
записите по различен начин. От оригиналното ти писмо човек остава с
впечатлението, че е технически невъзможно да се създаде wildcard NS
запис. 
На какво дължа хапливия тон на отговора ти? Целта на писмото ми
беше да покажа някои грешки в твоето, не да се заяждаме. 

>другаде едва ли ще мине. SpNet имат дългогодишен опит в криене на зони
>чрез забрана на трансфер, между впрочем.

А това от къде изскочи? Имаш непоносимост към някои интернет доставчици,
или просто в момента се сети за този факт? Доколкото знам няма изискване
AXFR да е разрешен за клиенти които не са отговорни за даден домайн.
Това е избор който се прави от човека отговорен за даден DNS сървър. 

>
>Освен това IANA и RIPE отдавна тръбят да се разреши зоналния трансфер,
>че да може да се следи синтаксиса на зоналните файлове и да се следят
>подобни"бози". VeriSign и досега не разрешават трансфер на зоните на
>COM и NET. То и как ще разрешат, като зона на съществува. Никой никъде
>не е виждал сорса на техните TLD.

И продължаваме по темата... Не съм чувал за тръбенето на IANA и RIPE
досега и съответно не съм запознат със съображенията им, но ако са
описаните по-горе от теб, то те са напълно безсмислени. Следенето на
синтаксиса на "зоновите файлове" (ами ако в един файл има няколко
"зони"? или е RDBMS?) е работа на DNS администратора или собственика на
даден домейн. Не виждам по какъв начин "peer review" ще спомогне за
работата на даден домейн, когато peer-ите нямат възможност да
отстраняват грешките сами. Освен това не виждам по какъв начин
некоректно конфигуриран домейн/сървър може да попречи на функционирането
на някой друг домейн/сървър. 

>ISC пуснаха зоната на "." нарочно свободна за трансфер, за да може
>първо всеки, който поиска да си прави anycast огледало и второ за да
>може всеки да гледа зоната за да няма в нея "паразити". RIPE върху
>ns.ripe.net отвориха всички зони за трансфер за да може да има оглед
>върху всяка една от тях. Тези неща не се правят случайно. Взаимния
>контрол е най-добрата предпоставка за намаляване на проблемите в
>системата за имена.

Разбира се, ако говорим за TLDA тогава "peer review" придобива малко
по-различен смисъл и аз съм съгласен, че е полезен, но ти говориш за
SpNet, нали така? Нека не забравяме, че в "зоновите файлове" на
съответното TLDA няма нищо друго освен NS и glue записи, за разлика от
някой DNS сървър от 2-ро, 3-то и т.н. нива.

>> > Аз не мога да кажа със 100% сигурност дали VeriSign няма да
>> > направят"wildcard" NS ресурсни записи. Ако те направят това обаче,
>> > те ще трябва(ВНИМАНИЕ в тънкия момент) да делегират всички визможни
>> > домейни, което
>>
>> Добавянето на NS запис не е ли делегиране само по себе си?
>
>Тук или не си прочел внимателно, или не си разбрал. Добавянето на NS RR
>винаги е делегиране. То и затова са направени тези ресурсни записи. Но
>ако направиш "wildcard" NS RR, ти напрактика делегираш безброй много
>домейни. Причината е в свойството на "wildcard" записа "да бъде всичко,
>което иначе не е делегирано". Т.е. ако направиш "wildcard" NS RR ти
>създаваш безброй много

До тук съм съгласен с теоретичната част, но... 

>домейни в зоната, в която записа е извършен и тази зона се "изчерпва".
>Т.е.

... тук не говориш сериозно нали? Искаш да кажеш, че VeriSign или което
и да е друго TLDA след това няма да могат да различат дали един домейн е
регистриран или не, и съответно дали могат да ти го продадат или не?

>в нея има всякакво име на домейн, за което се сетиш и няма свободни,
>незаети имена. Т.е. който го направи си прави зоната едно безкрайно
>голямо и затворено множество от домейни и се затваря като черна дупка
>-малко аналогията е непълна, щото няма гравитационен колапс, нито
>радиус на

Философски и строго далечно-научно-отнесено теоретично погледнато може,
и да има някаква бегла прилика с черните дупки, но практически, и малко
по-свързано с реалността теоретично погледнато, wildcard NS записът няма
НИЩО общо с черните дупки. С други думи примерът който си дал е напълно
неподходящ ;-). Късния час е лош съветник. Никога не съм предполагал, че
квантовата физика и Общата Теория на Относителността ще ми бъдат полезни
при четене на LUG-BG. :)

>Шварцшилд, нито хоризонт на събитията:))))) но в този късен час и при
>тази умора друго на ми дойде на главата.
>
>Лично аз, ако имах пари, щях да създам организация за мониторинг на
>системата за имена в нашето интернет пространство и да следя да няма
>групи погазвания на RFC документите. И ако има домейн направен за да
>лъже системата, той да бъде свалян от обслужване, щото съгласете се,
>ама ако почнем да лъжем системата за имена, обезмисляме Интернет.

Не я лъжем ти и аз, а VeriSign, но иначе си прав и съм съгласен с теб.

Все още се чудя на какво дължа хапливия и заядлив тон на съобщението ти.
Не смятам че в LUG-BG има място за подобен род кореспонденция. Ако
държиш да запазиш тона си ще те помоля да пренесем дискусията си извън
групата.

-- 
Best Regards,
Hristo Erinin
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================