Kandu.dk - "Randomize all source ports for DNS responses"


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

"Randomize all source ports for DNS respon~
Fra : Andreas Plesner Jaco~

Dato : 18-08-08 22:23

I sin præsentation til it-pol,
http://video.dkuug.dk/2008-08-14-dk-tld/dotdk.mpg, skriver Ram Mohan i
et af sine slides at de vil "randomize source ports for DNS responses".
At benytte tilfældige source-porte til DNS-forespørgsler giver mening,
men jeg kan ikke få Rams slide til at give mening.

1. Det ødelægger stateful firewalls, der forventer at svaret kommer fra
53/udp (til nøds TCP engang imellem).
2. Det vil ikke øge sikkerheden, fordi modtageren af svaret ved
alligevel ikke hvilken port der er den "rigtige", hvis der samtidig
skulle komme pakker fra en angriber.

Er det mig, der tager fejl?

--
Andreas

Allan Olesen (19-08-2008)

Kommentar
Fra : Allan Olesen

Dato : 19-08-08 17:05

Andreas Plesner Jacobsen wrote:
> 1. Det ødelægger stateful firewalls

....og en del routere.

Mange NAT-routere accepterer kun svar fra den ip-adresse og port,
forespørgslen blev sendt til. Det er vel et definitionsspørgsmål, om
routeren dermed reelt er en stateful firewall, men så længe den sælges
som en router, hjælper det jo ikke meget.

--
Allan Olesen

Kent Friis (19-08-2008)

Kommentar
Fra : Kent Friis

Dato : 19-08-08 18:03

Den Mon, 18 Aug 2008 21:22:33 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> I sin præsentation til it-pol,
> http://video.dkuug.dk/2008-08-14-dk-tld/dotdk.mpg, skriver Ram Mohan i
> et af sine slides at de vil "randomize source ports for DNS responses".
> At benytte tilfældige source-porte til DNS-forespørgsler giver mening,
> men jeg kan ikke få Rams slide til at give mening.

Hvis din citering er korrekt, giver det ikke mening, nej (jeg har ikke
set videoen).

> 1. Det ødelægger stateful firewalls, der forventer at svaret kommer fra
> 53/udp (til nøds TCP engang imellem).

Hvis den er statefull, forventer den at svaret kommer fra den port
forespørgslen er sendt til. Ok, måske en detalje, for det er jo
netop port 53.

> 2. Det vil ikke øge sikkerheden, fordi modtageren af svaret ved
> alligevel ikke hvilken port der er den "rigtige", hvis der samtidig
> skulle komme pakker fra en angriber.
>
> Er det mig, der tager fejl?

Der er forhåbentlig tale om en misforståelse et sted.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Søg

Reklame

Statistik

Spørgsmål :	177455
Tips :	31962
Nyheder :	719565
Indlæg :	6408144
Brugere :	218879

Månedens bedste

Årets bedste

Sidste års bedste