No, je potreba si uvedomit, co presne hrozi, alespon teoreticky.Problem je, kdyz se nekdo pripoji k memu serveru, a ja se z nejakeho stupidniho duvodu pokusim k IP, ktera se ke mne pripojila, zjistit pomoci PTR i jeho hostname. V tu chvili majitel IP je schopen zajistit, ze dotaz pujde na DNS server, ktery drzi reverzy pro jeho IP, a ten lze vhodne upravit. Cili utocnik zpusobim svym prichozim spojenim na vzdalenem serveru (jehoz DNS server nemusi byt ani nijak napaden) aktivaci zakerneho kodu, protoze spravce ma zapnuty nejaky PTR.Proc, proboha, bych neco takoveho mel mit nakonfigurovano ?
Host.allow na hostname - to bych byl idiot. Logovani - neduveryhodne, nespolehlive, zdrzujici. Overovani na SMTP - ne, beru domenu z mail from a porovnavam IP s MX, pripadne se ptam na TXT pro domenu. Napadne nekoho neco smysluplneho ? Kdysi to defaultne delaly nektere verze FTP serveru, ale ftp se snad uz temer ani nepouziva.Opacnym smerem je relevantni utok proveditelny takto - chci komunikovat na nejake hostname, a podvrzeny DNS server mi misto "A" vrati CNAME zaznam s vhodnym obsahem. Vsimnete si toho "podvrzeny DNS server".To je seriozni problem, protoze spousta cilovych hostname je predvidatelna (pool.ntp.org atp.) a pritom treba ani uzivatel workstation si niceho nevsimne (pokud na fake DNS udelam treba pool.ntp.org jako domenu, a cokoliv jineho forwarduju na realny DNS). Vyhnout se tomu, ze musim napadnout DNS server, ktery ma obet nakonfigurovan, bych u toho NTP byl schopen pomoci CNAME.Cili zkusim vyrobit NTP server s fake stratum a spostou IP + CNAME zaznamu vedoucich na DNS ktery mam pod kontrolou, idealne s nizkym TTL. NTP nabidnu pres pool.ntp.org, sleduju zurnal, a az kdyz mam podle logu zajimavou navstevnost, mohu na definovanou dobu nebo pomoci DNS view jen pro vybrane cile pripravit na svem DNS serveru pro vybrane CNAME hodnoty, ktere zpusobi preteceni zasobniku tomu, kdo se muj CNAME pokusi v danou dobu resolvovat.Cili minimalne teoreticky to pouzitelne je, na nevhodne konfigurovany server i vzdalene, nebo na servery i klienty pomoci nejake public sluzby a'la pool.ntp.org + CNAME odkazujicich postupne az na muj server - ale musim pockat, az na mne sami zkusi pristoupit.