Liebe Mitglieder,
Am 14.01.2011 haben wir über Announce mitgeteilt, dass wir bei trash.net
DNSSEC unterstützen und dafür neben signierten Zonen auch einen
DNS-Resolver-Service anbieten.
In Reaktion auf verschiedene Projekte wie Open DNS Resolver Project
http://openresolverproject.org oder The Measurement Factory
http://dns.measurement-factory.com, welche unseren offenen DNS Server
dnssec3.trash.net bereits auflisten, und nachdem sogar das US-Cert am
29.03.2013 den Alert TA13-088A: DNS Amplification Attacks herausgegeben hat,
habe ich mich entschlossen, den Zugriff auf dnssec3.trash.net einzuschränken
und so einem allfälligen Missbrauch entgegenzuwirken.
Selbstverständlich möchte ich den DNS-Resolver-Service mit
DNSSEC-Verifikation für unsere Mitglieder weiterhin zur Verfügung stellen.
Bis auf Weiteres pflege ich die Konfiguration manuell. Wer den Service
nutzen will, muss mir einfach seine IP-Adresse auf sysadmin(a)trash.net
mitteilen und ich werden dann den C-Block in die Liste der erlaubten
Adressen eintragen.
Ich kann mir durchaus vorstellen, den Zugriff über Anklopfen automatisch zu
ermöglichen, muss dies aber aus Zeitgründen noch aufschieben.
Herzliche Grüsse
Othmar Truniger
Sysadmin trash.net
-----Ursprüngliche Nachricht-----
Von: announce-bounces(a)trash.net [mailto:announce-bounces@trash.net] Im
Auftrag von Roman Fischer
Gesendet: Freitag, 14. Januar 2011 13:03
An: announce(a)trash.net
Betreff: [Announce] trash.net tut was für DNSSEC!
Liebe Mitglieder,
Schon seit längerer Zeit gibt es Bestrebungen, das DNS [1] sicherer zu
machen. Dies läuft unter dem schönen Namen "DNSSEC".
Damit das jede/r ausprobieren kann, haben wir speziell für unsere
Mitglieder zwei neue DNSSEC-fähige DNS-Server (dnssec1.trash.net und
dnssec2.trash.net) und einen DNSSEC-fähigen rekursiven DNS-Server
(dnssec3.trash.net) eingerichtet.
Schön, aber was kann man damit anfangen?
Zum Einen könnt ihr eure eigenen Domains auf trash.net hosten und
DNSSEC konform signieren lassen (Für Details wendet euch einfach an
sysadmin(a)trash.net).
Zum Anderen könnt ihr den rekursiven DNS-Server dnssec3.trash.net für
normale DNS Abfragen in eure Netzwerk-Konfiguration eintragen. Die
Techies unter euch wissen, was ich meine. ;)
Wer nicht gerne an seinen Netzwerk-Einstellungen rumfummelt, aber beim
Surfen im Internet doch eine Spur sicherer sein möchte, den könnte das
folgende interessieren:
Für den Firefox gibt es ein Add-on "DNSSEC Validator" [2]. Wenn man
dieses installiert und konfiguriert, dann zeigt Firefox in der URL an,
ob die entsprechende Site mit DNSSEC arbeitet und wenn ja, ob die
Antwort korrekt (also sicher) ist.
Download und Konfiguration des DNSSEC Validators haben wir auch noch
unter [3] dokumentiert.
Bitte beachtet: dnssec3.trash.net loggt alle Zugriffe für maximal eine
Woche. Wer Wert auf Anonymität legt, sollte dies berücksichtigen. Wir
halten das Logging so kurz wie möglich um den Balance-Akt zwischen
Schutz der Privatsphäre und einem zuverlässigen Betrieb gewährleisten
zu können!
Für Fragen oder Feedback stehen wir natürlich gern zur Verfügung.
Liebe Grüsse
Roman, Präsi
[1] http://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
[2] https://addons.mozilla.org/en-US/firefox/addon/64247/
[3] http://www.trash.net/faq/dnssec_validator/dnssec_validator.shtml
_______________________________________________
announce mailing list
announce(a)trash.net
https://your.trash.net/mailman/listinfo.cgi/announce
