[Nlnog] SIDN nameservercheck

Maarten te Paske maarten at tepaske.net
Wed Oct 18 21:41:32 UTC 2006


On Wed, Oct 18, 2006 at 04:44:45PM +0200, Boudewijn Visser wrote:
 
> Voor zo ver het de content van de zone betreft, ja.
> Maar het grondig beperken van het aantal mensen wat uberhaupt met (een
> deel van) je nameserver proces kan spreken, en daarbij eventuele bugs
> kan exploiten, of DoS veroorzaken, is wel een re?ele security
> overweging.

Tsja, ik kan wel wat dingen bedenken die spannender zijn dan een
nameserver die zonetransfers toestaat. Apache en het uitvoeren van
serverside code bijvoorbeeld :)

> Idem voor veel meer (ooit standaard publieke) services zoals dns
> resolvers, ntp e.a. Hoe jammer ook.

Volgens mij doet men hier veel te dramatisch over. Ik heb bij een
tweetal ISP's gewerkt waar dit werd toegestaan zonder dat dat ooit
problemen heeft opgeleverd.

Ik vind het een hele andere kwestie dan het openzetten van je resolvers
voor de hele wereld, waarvan iedereen inmiddels wel weet dat dat
onverstandig is.

Maarten
-- 
"Voor onze veiligheid moeten we een beetje van onze privacy inleveren."
  -- Huis-aan-huisfolder "Nederland tegen terrorisme"
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20061018/5b82b805/attachment.pgp>



More information about the NLNOG mailing list