Por que o systemd-networkd considera o UseDomains = (lista de busca de domínio do DHCP) menos seguro que o LLMNR?

1

UseDomains=

Takes a boolean argument, or the special value "route". When true, the domain name received from the DHCP server will be used as DNS search domain over this link, similar to the effect of the Domains= setting. If set to "route", the domain name received from the DHCP server will be used for routing DNS queries only, but not for searching, similar to the effect of the Domains= setting when the argument is prefixed with "~". Defaults to false.

It is recommended to enable this option only on trusted networks, as setting this affects resolution of all host names, in particular of single-label names. It is generally safer to use the supplied domain only as routing domain, rather than as search domain, in order to not have it affect local resolution of single-label names.

compare

LLMNR=

A boolean or "resolve". When true, enables Link-Local Multicast Name Resolution on the link. When set to "resolve", only resolution is enabled, but not host registration and announcement. Defaults to true.

mas o LLMNR também resolve nomes de rótulo único. Alguém pode explicar isso?

Fonte: link a partir da versão 239 do systemd.

    
por sourcejedi 25.06.2018 / 23:58

1 resposta

1

Existe uma justificativa publicada em 2015. link

iiuc, the concern was that multi-level domain names (i.e. those with at least one dot) could be spoofed by controlling the search suffix. But for names with at least two levels glibc only uses the search list as a fallback.

     

Bem, claro, ser capaz de influenciar as coisas no começo do   lógica de busca é mais problemática do que influenciar as coisas no final de   a lógica de pesquisa, mas eu ainda acho que é problemático, uma vez que ainda   permite que você insira "home.foobar.com" em um domínio "foobar.com" que   não tem "home.foobar.com" em si, mas apenas "www.bar.com" ...

     

Claro, o DNS clássico (não-DNSSEC) não vai ser totalmente seguro,   mas ainda acredito que deveríamos padronizar as opções mais seguras, e   permitir que os outros.

     

Alterar os caminhos de pesquisa é inerentemente algo que não faz sentido   em redes públicas, só faz sentido se você conhece bem a sua rede,   e confiar em algum nível. Daí opt-in soa como a melhor opção   para mim.

    
por 26.06.2018 / 00:03