Vlákno názorů k článku Jak blokujeme nepovolené hazardní weby od Kouli - Pozor na DNSSEC. Pokud by byla doména 1xbet.com...
-
Kouli (neregistrovaný)
Pozor na DNSSEC. Pokud by byla doména 1xbet.com podepsána, tak se ta RPZ konfigurace normálně neuplatní a bude se to chovat, jako by doména nebyla zablokovaná. Do konfigurace BINDu lze přidat volba
break-dnssec yes, pak podepsané záznamy blokované libovolně politikou RPZ vrací jako NXDOMAIN.Proto jsme považovali přesměrování na nějaké vysvětlující stránky za zbytečné (funguje jen pro nepodepsané domény) a rovnou na
1xbet.comuplatňujeme chování NXDOMAIN.BIND ještě dovoluje přidat vlastní bod důvěry, ale to by vyřešilo jen validaci na rekurzivním resolveru. Těžko tento bod důvěry zkonfigurujete u uživatelů tohoto resolveru (u těch, kteří také validují).
-
Ondřej CaletkaZlatý podporovatelNení pravda, že "pokud by byla doména 1xbet.com podepsána, tak se ta RPZ konfigurace normálně neuplatní":
$ dig blokovane.internetovehazardnihry.cz @ns.ces.net +short blokovane.internetovehazardnihry.cz.poker.cesnet.cz. poker.cesnet.cz. 78.128.216.33
Pravidla RPZ se neuplatní pouze v případě, že klient požaduje DNSSEC podpisy:
$ dig blokovane.internetovehazardnihry.cz @ns.ces.net +short +dnssec 104.18.52.38 104.18.53.38 A 13 3 300 20170802130346 20170731110346 35273 internetovehazardnihry.cz. Y4QXobLvx+qghOZWqHXckWYIs+i918nNeVcGoj6q+PhG89tDWU67DC0t pXYc69ewZnpHAWYqREN60Qp2xL5r2A==
Důvod je zřejmý – pokud klient požaduje DNSSEC data, pak je asi schopen je i validovat a nejspíš má i schopnost dobrat se validní odpovědi jinou cestou, proto nemá velký smysl takové DNS odpovědi upravovat. Volba
break-dnssec yes;naopak může být nebezpečná, protože validující resolver může do resolveru neustále tlouci v domnění, že mu snad na 1000. pokus vrátí správnou odpověď.
ČLÁNKY DO MAILU