Her er er så beviset på at firewall ikke altid er den sikreste løsning. Har 2 DNS server de står begge i DMZ, den ene er mere fri end den anden, da den kan snakke ud på alle porte, men den anden er bunde af en ACL der styre alt udgående trafik, så der er lavet en statisk regel, der tillader den at snakke ud af huset på port 53, men kun port 53, og nå ja så kan den snakke port 123 med Red Hat og den kan snakke med RHN via SSL på port 443. Endelig skulle dette jo være godt nok, lige indtil for ganske nydeligt. Den seneste tid DNS snak har jo sådan set skudt dette til jorden, da alle sikkerheds eksperter nu anbefaler DNS snak kan snakke ud på forskellige ikke forudsigelige porte for at undgå DNS cache gift. eller DNS poisen, der kan udnyttes til fiskerrig phising, men hvordan laver man firewall regler der kan åbne random porte på opfordring. Jeg ved ikke med dig, men for mig lyder det helt umulig, da man ligeså godt kunne droppe kontrollen af udgående porte total. Er der nogle der kender de range af porte Binde 9 kan finde på at snakke ud på hvis jeg fjerne linjen fra named.conf der binder den til port 53 vil jeg meget gerne høre fra jer, bare drop en kommentar, og jeg vil praktiserer det. Indtil jeg har fundet en løsning på dette problem, vil jeg praktiserer et forbud mod at begrænse en server i DMZ til de porte man har åbnet for den...
Med venlig hilsen
Dennis
P.S.
Hvis du vil tjekke din DNS server, ved jeg der findes flere steder på nettet hvor du kan gøre det, jeg personlig brugte dette link
http://www.doxpara.com/
søndag den 27. juli 2008
lørdag den 19. juli 2008
Linus du er OK :-) super udtagelse
Så sidder man her på camping, bundet op på et 2G netværk hvor en alm. Hjemmeside tager 5 minutter om at loade. Længe leve RSS, simpel tekst og ingen tunge sider. Hvad ser man så en lille hurtig bemærkning fra en person jeg har den dybeste respekt for Linus Torvald! Personlig kender jeg ikke noget til OpenBSD, andet en et mislykket forsøg på at bootstrappe en installation på et Xen test miljø, men holdningen om at man er begyndt at fokusere for meget på sikkerhed, kan jeg godt følge. Personlig syntes jeg antivirus software er strengt overdrevet, og at firewall er spændene og praktisk, men meget paranoid, ikke at jeg siger at man ikke skal benytte nogle af delene, men at man skal være meget fokuserede på at antivirus software ikke æder mere end selve operativsystemet nogensinde på egen hånd kommer til ar bruge af f.eks. RAM og disk I/O. Hvad var det så Linus sagde, jo han udtalte sig meget åbenmundet om hans personlige mening om at alt fra OpenBSD i hans øjne gå for meget op i sikkerhed, ved at sige:
I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them. To me, security is important. But it's no less important than everything else that is also important.
Jeg læste det første gang her http://newz.dk/linus-torvalds-kalder-openbsd-folk-onanerende-aber?utm_source=newz-dk&utm_medium=rss&utm_campaign=rss#
Jeg holder meget af folk der tør sige hvad de virkelig mener, og Linus udtalelse fik et lille smil frem på mine læber her i det buldrende forteltet, ved den jyske vestkyst. For resten en anden lille sjov ting fra Linus der også er ferieramt kan læses her http://lwn.net/Articles/290498/
De bedste ferie hilsner
Dennis
I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them. To me, security is important. But it's no less important than everything else that is also important.
Jeg læste det første gang her http://newz.dk/linus-torvalds-kalder-openbsd-folk-onanerende-aber?utm_source=newz-dk&utm_medium=rss&utm_campaign=rss#
Jeg holder meget af folk der tør sige hvad de virkelig mener, og Linus udtalelse fik et lille smil frem på mine læber her i det buldrende forteltet, ved den jyske vestkyst. For resten en anden lille sjov ting fra Linus der også er ferieramt kan læses her http://lwn.net/Articles/290498/
De bedste ferie hilsner
Dennis
tirsdag den 1. juli 2008
Flytte og Server Stress "FOSS"
Så fik jeg endelig en afklaring på den sidste tids mange spørgsmål. Det blev heller ikke et Power projekt denne gang. Red Hat understøtter åbenbart ikke PPC i deres Xen kerne... øv øv... Har bestilt en nye Intel server, som bliver den sidste server tilbage i Århus. Bare det hele nu går som det skal, men i det mindste er jeg ikke på så ny jord som hvis det var Power. Ved ikke rigtig om jeg skal se det som et personlig nederlag, eller en befrielse. system P teknikeren oplyste mig i dag om den type server jeg havde fået mine finger i, var en speciel udgave, og ikke solgt i mange eksemplar... det lyder i mine øre som et meget dyrt bekendtskab... Tror jeg vælger at se det som en befrielse... Det eneste lille hovsa er at min nærmeste overordnet ikke lige var at træffe da beslutningen skulle tages,om indkøb af en ny server så jeg måtte gå et trin højre op... Har lige SMS 'et med ham, han ringer i aften.... håber på forståelse... men hvad 25.000 - 30.000kr er jo også en slags penge. De sidste par dage er gået med arbejde til kl. 18:00 hjemme 19:30 og så forsøgt at slappe af med Mytebuster til kl 23:00 hvor den stod på seng for at fortsætte i samme gear dagen efter... Jeg glæder mig virkelig til ferie. Jeg glæder mig virkelig til at få en normal arbejds rutine igen... alt det her navneskift og flyttende rundt, kan tage pippet fra selv den mest hårdkogt anti stress personlighed.
Abonner på:
Opslag (Atom)
