/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
"Randomize all source ports for DNS respon~
Fra : Andreas Plesner Jaco~


Dato : 18-08-08 22:23

I sin præsentation til it-pol,
http://video.dkuug.dk/2008-08-14-dk-tld/dotdk.mpg, skriver Ram Mohan i
et af sine slides at de vil "randomize source ports for DNS responses".
At benytte tilfældige source-porte til DNS-forespørgsler giver mening,
men jeg kan ikke få Rams slide til at give mening.

1. Det ødelægger stateful firewalls, der forventer at svaret kommer fra
53/udp (til nøds TCP engang imellem).
2. Det vil ikke øge sikkerheden, fordi modtageren af svaret ved
alligevel ikke hvilken port der er den "rigtige", hvis der samtidig
skulle komme pakker fra en angriber.

Er det mig, der tager fejl?

--
Andreas

 
 
Allan Olesen (19-08-2008)
Kommentar
Fra : Allan Olesen


Dato : 19-08-08 17:05

Andreas Plesner Jacobsen wrote:
> 1. Det ødelægger stateful firewalls

....og en del routere.

Mange NAT-routere accepterer kun svar fra den ip-adresse og port,
forespørgslen blev sendt til. Det er vel et definitionsspørgsmål, om
routeren dermed reelt er en stateful firewall, men så længe den sælges
som en router, hjælper det jo ikke meget.

--
Allan Olesen

Kent Friis (19-08-2008)
Kommentar
Fra : Kent Friis


Dato : 19-08-08 18:03

Den Mon, 18 Aug 2008 21:22:33 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> I sin præsentation til it-pol,
> http://video.dkuug.dk/2008-08-14-dk-tld/dotdk.mpg, skriver Ram Mohan i
> et af sine slides at de vil "randomize source ports for DNS responses".
> At benytte tilfældige source-porte til DNS-forespørgsler giver mening,
> men jeg kan ikke få Rams slide til at give mening.

Hvis din citering er korrekt, giver det ikke mening, nej (jeg har ikke
set videoen).

> 1. Det ødelægger stateful firewalls, der forventer at svaret kommer fra
> 53/udp (til nøds TCP engang imellem).

Hvis den er statefull, forventer den at svaret kommer fra den port
forespørgslen er sendt til. Ok, måske en detalje, for det er jo
netop port 53.

> 2. Det vil ikke øge sikkerheden, fordi modtageren af svaret ved
> alligevel ikke hvilken port der er den "rigtige", hvis der samtidig
> skulle komme pakker fra en angriber.
>
> Er det mig, der tager fejl?

Der er forhåbentlig tale om en misforståelse et sted.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Søg
Reklame
Statistik
Spørgsmål : 177579
Tips : 31968
Nyheder : 719565
Indlæg : 6409073
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste