-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-07-14 a las 21:18 +0200, Camaleón escribió:
El 14/07/08, Carlos E. R. escribió:
Es que fijate la frase:
] Unfortunately we do not have details about ] Kaminsky's attack and have to trust the statement that a random UDP ] source-port is sufficient to stop it.
No conocen los detalles del ataque ni de la solución.
Pero eso lo dicen en la nota del parche de suse ¿no?
Lo que he puesto yo es la nota del parche de suse, y de la cual se deduce que ellos no lo tienen claro.
En el primero de los enlaces que puse, confirman:
*** UPDATE:
The CERT announcement implies strong randomization of the source port and transaction id makes the attack improbable.
"Because attacks against these vulnerabilities all rely on an attacker's ability to predictably spoof traffic, the implementation of per-query source port randomization in the server presents a practical mitigation" ***
Si saben qué es lo que lo hace vulnerable y dicen que aplicando mayor entropía se soluciona... yo me fío O:-)
Los de suse dicen que se tienen que fiar de lo que les dicen.
Sí, pero exige activar cifrado en todas las consultas de los grandes servidores de dns (los de los proveedores con caché, no los raiz) hacia todos los posibles servidores a los que preguntan, incluyendo todas las empresas y particulares con dominio y servidor dns de tal dominio. ¿Es viable eso? Tendrías que automatizar un proceso para intercambio de claves fiablemente, y eso creo que sólo es posible con una entidad de manejo de llaves como las que se usan para servidores de correo o web (ssl?), y esas llaves tienen un coste elevado.
Dicho sea sin conocer como funciona dnssec, o sea, que puedo estar metiendo la pata hasta el fondo :-)
"My 2 cents" de que es viable. Pero ahora no existe O:-):
*** Eventually we all may have to break down and fix DNS. DNSSEC is an extension to DNS asking for cryptographic authentication. However, it requires a PKI infrastructure which at this point doesn't exist. There is not much to be gained from implementing DNSSEC on your own (but by all means: try it out and see how it works). ***
O sea, que he acertado bastante.
Es más, en un futuro la mayoría del tráfico que circule por la web estará cifrado y todos estaremos identificados y si no, no nos permirtán el acceso... eso del anonimato tendrá los días contados y sólo unos cuantos locos vagarán por la red quebrantando las reglas
:-)
En cuanto entre IPv6. Te asignan una IP igual al numero de DNI o pasaportem, y listo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIe6mrtTMYHG2NR9URAuj1AJ49HO2CeawYc6OFZkaNqiYhuXz71gCbBIGr EQNCWHFJ8nhL+ScvdGhqYes= =jD3h -----END PGP SIGNATURE-----