[FUG-BR] [OFF-TOPIC] Free DNS host, alguém recomenda ?

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quinta Janeiro 8 17:50:40 BRST 2015 

> On 08/01/2015, at 16:42, ae moura <aemoura.afa em outlook.com> wrote:
> 
> 
> 
>> Date: Thu, 8 Jan 2015 15:28:32 -0200
>> From: listas em fabriciolima.com.br
>> To: freebsd em fug.com.br
>> Subject: Re: [FUG-BR]	[OFF-TOPIC] Free DNS host, alguém recomenda ?
>> 
>> Tb gostei qndo virou duelo de monstros explicando dnssec Hehehe
>> 
>> 
>> Mas q porra eh BCPs?
> São melhores práticas.Best Common Practices.Acho que no caso eles estão falando da BCP38.A melhor discussão do assunto foi iniciada pelo mestre Patrick Tracanelli em 2013 recomendo a todos ler a thread inteira (não só a primeira mensagem) pois toda a conversa teve gente de alto nível opinando:http://eng.registro.br/pipermail/gter/2013-March/042276.html
> Alias mais que uma bela discussão o Patrick deu um esculacho bem educado em geral Hahaha
> 

huauhauhuhaa longe de mim, não foi a intenção jamais :-)

Na verdade é Best Current Practices.

Mas concordo, todos sysadmins e operadores de rede deveriam sim conhecer, é o mínimo, o básico da responsabilidade. 
Na verdade concordo tanto que estamos revisando os requisitos da certificação BSDP e um dos testes práticos será implementar recomendações da BCP usando ferramentas nativas no sistema BSD que o cara for se certificar. É a forma como o BSD Certification Group pode fazer pra ajudar a ter admins mais responsáveis, focando-os a estudar e se preparar mesmo se no exame dele esse item funcional não for pedido (ja que é random tasks).

No caso da Certificação BSDP eu mesmo (com o Jim Brown) estamos revisando as atividades que vão cobrar conhecimento das seguintes BCP que inclusive são as que eu recomendo e que estão associadas a essa excelente discussão:

BCP - Best Current Practices - Index:

http://www.rfc-editor.org/categories/rfc-best.html

*BCP38 - Network Ingress Filtering (dica: verify reverse path, verify source reachability, antispoof no IPFW, antispoof no PF)
*BCP84 - Ingress Filtering for Multihomed Networks  
*BCP140 - Preventing Use of Recursive Nameservers in Reflector Attacks (dicas: acls e filtros no BIND/unbound, split horizon, views, any cast DNS)
BCP189 - An Acceptable Use Policy for New ICMP Types and Codes  (man 8 icmp, pf, ipfw, sysctls)
BCP186 - Recommendations on Filtering of IPv4 Packets Containing IPv4 Options  
BCP122 - Classless Inter-domain Routing (CIDR)
BCP132 - AAA
BCP30 - Anti-Spam Recommendations for SMTP MTAs  
BCP5 - RFC1918 - Address Allocation for Private Internets
BCP16 - Selection and Operation of Secondary DNS Servers  

* mais aplicáveis a essa discussão sobre DNS

Existem outras BCP/RFC que eu queria colocar como requisito de estudo da BSDP mas infelizmente não cabem devido ao escopo da certificação.

BCP114 - BGP Communities for Data Collection  
BCP21 - Expectations for Computer Security Incident Response  
BCP20 - Classless IN-ADDR.ARPA delegation  
BCP6 - Guidelines for creation, selection, and registration of an Autonomous System (AS)  
BCP57 - IGMP
BCP152 - DNS Proxy Implementation Guidelines  
BCP123 - Observed DNS Resolution Misbehavior  

Sobre o assunto DNSSEC, eu penso que ambos tem razão. DNSSEC aumenta sim o risco de ataques UDP fundados em amplificação; não porque ele facilite mas porque gera respostas maiores. No entanto isso é um problema maior que do DNSSEC, é do DNS em si, sua natureza e as características milenares (sim em Internet meses valem anos e décadas milénios hehehe) dos protocolos que usamos, IPv4, BGPv4, comunicação unicast, e pouca capacidade de roteadores de borda de implementar mecanismos, ainda que leves, de controle e filtro. Como eu disse no e-mail citado hehehe, sem esculachar ninguém que fique claro, falta sim responsabilidades dos operadores de rede, e não estou falando de operadores de provedores de 1, 2, 10Gbit/s como temos no Brasil, por incrível que pareça os pequenos que proporcionalmente vão crescendo, tem se mostrado mais responsáveis com seus Linux, BSD, VyOS, RouterOS do que grandes operadoras, em terrinha tupiniquim nominalmente Oi e Telefonica por exemplo e em algumas regiões até a NET que permite que se Spoof IP até falso (RFCP1918/BCP5) dentro de suas redes.

Em um mundo com BCPs implementadas, com DNSSEC, IPv6 e S-BGP, estaremos mais seguros, tanto em termos citados na conversa quanto em termos de continuidade de negócio. O que aconteceu em 2003 com Spamhaus aconteceu em Dezembro com a Sony, antes disso com a PSN de novo. E em menor volume acontece todos os dias, vejam na GTER o tanto de gente sofrendo com DDoS UDP de origens forjadas.

A causa é sempre a mesma mesma: DNS amplification, NTP Amplification, SNMP Amplification.

Então por que raios de motivo os sysadmins e NOCs e afins não fecham seus SNMP/NTP/DNS pra quem não é cliente autentico? Burrice? Incapacidade? Irresponsabilidade? Porque ausência de tecnologia e dificuldade técnica não é. Falta de acesso a informação não é.

Todos deveriam começar devorando as referências abaixo:

http://bcp.nic.br/
http://bcp.nic.br/antispoofing/

E depois irem pras BCP não cobertas em português.

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd