El 14/07/08, Carlos E. R. escribió:
Es que fijate la frase:
] Unfortunately we do not have details about ] Kaminsky's attack and have to trust the statement that a random UDP ] source-port is sufficient to stop it.
No conocen los detalles del ataque ni de la solución.
Pero eso lo dicen en la nota del parche de suse ¿no? En el primero de los enlaces que puse, confirman: *** UPDATE: The CERT announcement implies strong randomization of the source port and transaction id makes the attack improbable. "Because attacks against these vulnerabilities all rely on an attacker's ability to predictably spoof traffic, the implementation of per-query source port randomization in the server presents a practical mitigation" *** Si saben qué es lo que lo hace vulnerable y dicen que aplicando mayor entropía se soluciona... yo me fío O:-)
Sí, pero exige activar cifrado en todas las consultas de los grandes servidores de dns (los de los proveedores con caché, no los raiz) hacia todos los posibles servidores a los que preguntan, incluyendo todas las empresas y particulares con dominio y servidor dns de tal dominio. ¿Es viable eso? Tendrías que automatizar un proceso para intercambio de claves fiablemente, y eso creo que sólo es posible con una entidad de manejo de llaves como las que se usan para servidores de correo o web (ssl?), y esas llaves tienen un coste elevado.
Dicho sea sin conocer como funciona dnssec, o sea, que puedo estar metiendo la pata hasta el fondo :-)
"My 2 cents" de que es viable. Pero ahora no existe O:-): *** Eventually we all may have to break down and fix DNS. DNSSEC is an extension to DNS asking for cryptographic authentication. However, it requires a PKI infrastructure which at this point doesn't exist. There is not much to be gained from implementing DNSSEC on your own (but by all means: try it out and see how it works). *** Es más, en un futuro la mayoría del tráfico que circule por la web estará cifrado y todos estaremos identificados y si no, no nos permirtán el acceso... eso del anonimato tendrá los días contados y sólo unos cuantos locos vagarán por la red quebrantando las reglas
:-)
Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org