OpenBSD IPsec och klienter med dynamiska IP

peter h peter at hk.ipsec.se
Tue Jun 16 20:16:29 CEST 2009 

On Monday 15 June 2009 21.19, Michael Widerkrantz wrote:
> peter h <peter at hk.ipsec.se> (2009-06-15 20:09 +0200):
> 
> >> Jag såg visserligen "liknande tjänster" ovan, men jag vill slå ett slag
> >> för riktiga DNS Update. ISC:s dhclient har stöd för det, dessutom, så
> >> det är lätt att få DHCP-klienten att uppdatera DNS.
> >> 
> >
> > Njaaa
> > DNS är ingen authentisering, inte i dag , inte i dyndns möjligen tillsammans med
> > dnssec i en pålitlig topdomän. Men knappast tillsammans med dhcp.
> 
> Det där kunde jag inte parsa, är jag rädd. Det låter som om du
> missförstod vad jag skrev.
> 
> Roppert skrev att man kunde använda namn i konfigurationen i stället för
> IP-adresser om man nu har dynamiska IP-adresser. Han föreslog dyndns.
> 
> Jag menade att förutom dyndns, som väl använder vanlig HTTP för
> uppdatering, kunde man också använda DNS Update-protokollet (RFC 2136)
> för att uppdatera sin A- och/eller AAAA-post för maskinen med dynamiskt
> IP i DNS. DHCP-klienten dhclient från ISC har direkt stöd för DNS
> Update, så man behöver inte göra så mycket för att få det att fungera.
> 
> Det du skriver om att "DNS är ingen authentisering" (sic) låter
> märkligt. Menar du att DNS Update-protokollet har svag autentisering?
> Det stämmer att den bara klarar MD5 om man kör symmetriska TSIG, men man
> kan också köra public key med SIG(0). Var det MD5 du tänkte på eller
> menade du verkligen vad som står, att DNS-systemet i självt inte är en
> autentisering. Varför ens påstå det? Det är ju befängt. Ingen har sagt
> något om det.
Vad jag menar är att använda DNS information till någon form av authentisering är 
svagt och har inget säkerhetshöjande värde (numera)

Möjligen kan en trovärdig dnssec-säkrad zone i en pålitlig topdomän ha ett visst värde. 
Men annars gäller preshared keys, cert eller liknande som authentisering för t.ex. VPN.

Om dyndns i sig kan säkras innebär inte att dns-informationen är pålitlig.
> 

-- 
        Peter Håkanson   

        There's never money to do it right, but always money to do it
        again ... and again ... and again ... and again.
        ( Det är billigare att göra rätt. Det är dyrt att laga fel. )

More information about the BUS mailing list