OpenBSD IPsec och klienter med dynamiska IP

Michael Widerkrantz mc at hack.org
Mon Jun 15 21:19:35 CEST 2009


peter h <peter at hk.ipsec.se> (2009-06-15 20:09 +0200):

>> Jag såg visserligen "liknande tjänster" ovan, men jag vill slå ett slag
>> för riktiga DNS Update. ISC:s dhclient har stöd för det, dessutom, så
>> det är lätt att få DHCP-klienten att uppdatera DNS.
>> 
>
> Njaaa
> DNS är ingen authentisering, inte i dag , inte i dyndns möjligen tillsammans med
> dnssec i en pålitlig topdomän. Men knappast tillsammans med dhcp.

Det där kunde jag inte parsa, är jag rädd. Det låter som om du
missförstod vad jag skrev.

Roppert skrev att man kunde använda namn i konfigurationen i stället för
IP-adresser om man nu har dynamiska IP-adresser. Han föreslog dyndns.

Jag menade att förutom dyndns, som väl använder vanlig HTTP för
uppdatering, kunde man också använda DNS Update-protokollet (RFC 2136)
för att uppdatera sin A- och/eller AAAA-post för maskinen med dynamiskt
IP i DNS. DHCP-klienten dhclient från ISC har direkt stöd för DNS
Update, så man behöver inte göra så mycket för att få det att fungera.

Det du skriver om att "DNS är ingen authentisering" (sic) låter
märkligt. Menar du att DNS Update-protokollet har svag autentisering?
Det stämmer att den bara klarar MD5 om man kör symmetriska TSIG, men man
kan också köra public key med SIG(0). Var det MD5 du tänkte på eller
menade du verkligen vad som står, att DNS-systemet i självt inte är en
autentisering. Varför ens påstå det? Det är ju befängt. Ingen har sagt
något om det.

-- 
M.C. Widerkrantz, http://hack.org/mc/
Plain text e-mail, please. OpenPGP welcome.


More information about the BUS mailing list