Zona dns

classic Classic list List threaded Threaded
11 messages Options
Reply | Threaded
Open this post in threaded view
|

Zona dns

ricky gutierrez
Hola lista, pregunto esto xq en algún momento leí que se podía ocultar los registros dns de una zona de dominio, por ejemplo cuando alguien te hace un dig Any mizona.com ves todos los registros de esa zona.

Existe alguna forma? 
Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Cristian Mitchell


El 27 de abril de 2018, 20:56, Ricky Gutierrez<[hidden email]> escribió:
Hola lista, pregunto esto xq en algún momento leí que se podía ocultar los registros dns de una zona de dominio, por ejemplo cuando alguien te hace un dig Any mizona.com ves todos los registros de esa zona.

Existe alguna forma? 

Buenos dias

digamos que no soy un eperto en el tema.
pero nuencae visto uan configuracion como la que buscas
y ante la duda busque en google, y no trajo ninguna respuesta
y usando un poco de intuicion, te diria que no se puede,

saludos

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Dererk-9
On 28/04/18 09:57, Cristian Mitchell wrote:


El 27 de abril de 2018, 20:56, Ricky Gutierrez<[hidden email]> escribió:
Hola lista, pregunto esto xq en algún momento leí que se podía ocultar los registros dns de una zona de dominio, por ejemplo cuando alguien te hace un dig Any mizona.com ves todos los registros de esa zona.

Existe alguna forma? 

Buenos dias

digamos que no soy un eperto en el tema.
pero nuencae visto uan configuracion como la que buscas
y ante la duda busque en google, y no trajo ninguna respuesta
y usando un poco de intuicion, te diria que no se puede,

saludos


Que es especificamente lo que queres "ocultar"?

Es importante entender que el "ANY" que le pasas es basicamente lo mismo que hacer "dig -t MX -t NS -t TXT... dominio.com".
En otras palabras, no hace ninguna magia... no espia, no escanea un dominio ni lo hackea ni nada ;-)


Saludos,

\d

--
BOFH excuse #16:

somebody was calculating pi on the server
Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Galvatorix Torixgalva
In reply to this post by ricky gutierrez
A ver acierto por donde vas....

Creo que has leido acerca de zonas militarizadas y zonas desmilitarizadas (creo que esa seria mas o menos la traduccion de "demilitarized zone")   en temas de redes locales. Esto se hace cuando se tienen varias redes locales y se quiere combinar las redes publicas y las redes privadas con una cierta seguridad. Lo que preguntas es como proteger la informacion sensible (archivos de configuracion, etc) ante un potencial ataque.

¿Te refieres a ese tema?

Libre de virus. www.avast.com
Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Cristian Mitchell


El 7 de mayo de 2018, 02:42, Galvatorix Torixgalva<[hidden email]> escribió:
A ver acierto por donde vas....

Creo que has leido acerca de zonas militarizadas y zonas desmilitarizadas (creo que esa seria mas o menos la traduccion de "demilitarized zone")   en temas de redes locales. Esto se hace cuando se tienen varias redes locales y se quiere combinar las redes publicas y las redes privadas con una cierta seguridad. Lo que preguntas es como proteger la informacion sensible (archivos de configuracion, etc) ante un potencial ataque.

¿Te refieres a ese tema?

Libre de virus. www.avast.com

No creo que venga por ese lado
por que lo que propones es vistas en el DNS
pero la vista publica, igual reportaria los nombres relacionados al dominio

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Cristian Mitchell


El 7 de mayo de 2018, 10:02, Cristian Mitchell<[hidden email]> escribió:


El 7 de mayo de 2018, 02:42, Galvatorix Torixgalva<[hidden email]> escribió:
A ver acierto por donde vas....

Creo que has leido acerca de zonas militarizadas y zonas desmilitarizadas (creo que esa seria mas o menos la traduccion de "demilitarized zone")   en temas de redes locales. Esto se hace cuando se tienen varias redes locales y se quiere combinar las redes publicas y las redes privadas con una cierta seguridad. Lo que preguntas es como proteger la informacion sensible (archivos de configuracion, etc) ante un potencial ataque.

¿Te refieres a ese tema?

Libre de virus. www.avast.com

No creo que venga por ese lado
por que lo que propones es vistas en el DNS
pero la vista publica, igual reportaria los nombres relacionados al dominio

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,


pensando en lo que preguntaste
por que queres que se oculte y quien lo va a usar como accederia a esos registros.
son equipo conocidos o cualquiera puede acceder

por que si creas tu propio DNS que nadie configura podes crear registro que nadie podria leer
o los podes escribir en el archivo hosts

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

ricky gutierrez
Disculpas por escribir hasta ahora , pero la agenda ha estado full , pregunto esto xq el otro dia en una charla de seguridad hablaron de este servicio , que habían empresas que ya haciendo eso.

El 10 de mayo de 2018, 16:50, Cristian Mitchell <[hidden email]> escribió:


El 7 de mayo de 2018, 10:02, Cristian Mitchell<[hidden email]> escribió:


El 7 de mayo de 2018, 02:42, Galvatorix Torixgalva<[hidden email]> escribió:
A ver acierto por donde vas....

Creo que has leido acerca de zonas militarizadas y zonas desmilitarizadas (creo que esa seria mas o menos la traduccion de "demilitarized zone")   en temas de redes locales. Esto se hace cuando se tienen varias redes locales y se quiere combinar las redes publicas y las redes privadas con una cierta seguridad. Lo que preguntas es como proteger la informacion sensible (archivos de configuracion, etc) ante un potencial ataque.

¿Te refieres a ese tema?

Libre de virus. www.avast.com

No creo que venga por ese lado
por que lo que propones es vistas en el DNS
pero la vista publica, igual reportaria los nombres relacionados al dominio

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,


pensando en lo que preguntaste
por que queres que se oculte y quien lo va a usar como accederia a esos registros.
son equipo conocidos o cualquiera puede acceder

por que si creas tu propio DNS que nadie configura podes crear registro que nadie podria leer
o los podes escribir en el archivo hosts

--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,




--
Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Hector Colina-2
El 11/5/18, Ricky Gutierrez <[hidden email]> escribió:
> Disculpas por escribir hasta ahora , pero la agenda ha estado full ,
> pregunto esto xq el otro dia en una charla de seguridad hablaron de este
> servicio , que habían empresas que ya haciendo eso.

Quizás te refieras a "domain privacy" el cual es un servicio extra que
ofrecen muchos operadores de dns comerciales.

La teoría es sencilla:

* Cada vez que se hace una consulta de un fqdn hay un dns autorizado
que responde por dicho dominio. Este dns autorizado almacena
información del titular de dicho dominio (para mayor información
buscar los RFC respectivos)

* Ya que el estandar define que la información es pública... no puede
haber una consulta que devuelva esos campos vacios.

Si alguien, entonces, quisiera ocultar sus datos personales, a secas,
no puede hacerlo por lo que se han implementado una serie de medidas
que, en su conjunto, se denominan "domain privacy"

Estas medidas son múltiples y casi todas, pasan por la existencia de
un "proxy" que es el que muestra la información obligatoria requerida
pero con datos que no son los reales es decir, datos propios.

Inclusive existen países con normativas propias al respecto, por
ejemplo, los dominios .us deben mostrar públicamente toda la
información necesaria por lo que el domain privacy no puede ser
aplicado en USA.

En definitiva, puedes preguntar a tu proveedor de dominios si para el
domino que posees aplica el domain privacy.

Sin más a que hacer referencia.


--
**********************************************
Hector Colina. Linux  counter id 131637
Debian user, aka e1th0r
Mérida-Venezuela http://colina.net.ve
Key fingerprint = E81B 8228 8919 EE27 85B7  A59B 357F 81F5 5CFC B481
LA REVOLUCIÓN NO SE HACE UNICAMENTE CON LAS ARMAS

Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

ricky gutierrez
El día 11 de mayo de 2018, 9:34, Hector Colina <[hidden email]> escribió:

>
> Quizás te refieras a "domain privacy" el cual es un servicio extra que
> ofrecen muchos operadores de dns comerciales.
>
> La teoría es sencilla:
>
> * Cada vez que se hace una consulta de un fqdn hay un dns autorizado
> que responde por dicho dominio. Este dns autorizado almacena
> información del titular de dicho dominio (para mayor información
> buscar los RFC respectivos)
>
> * Ya que el estandar define que la información es pública... no puede
> haber una consulta que devuelva esos campos vacios.
>
> Si alguien, entonces, quisiera ocultar sus datos personales, a secas,
> no puede hacerlo por lo que se han implementado una serie de medidas
> que, en su conjunto, se denominan "domain privacy"
>
> Estas medidas son múltiples y casi todas, pasan por la existencia de
> un "proxy" que es el que muestra la información obligatoria requerida
> pero con datos que no son los reales es decir, datos propios.
>
> Inclusive existen países con normativas propias al respecto, por
> ejemplo, los dominios .us deben mostrar públicamente toda la
> información necesaria por lo que el domain privacy no puede ser
> aplicado en USA.
>
> En definitiva, puedes preguntar a tu proveedor de dominios si para el
> domino que posees aplica el domain privacy.
>
> Sin más a que hacer referencia.


Hector has dando en el tiro , de eso es lo que hablo.





--
rickygm

http://gnuforever.homelinux.com

Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Dixan Rivas
Donde único he visto eso implementado es en en los servidores de Cloudflare 1.1.1.1 1.0.0.1 si lo consultas con tipo any te dirá Not implemented.
Amplio un poco más en lo que decia dererk en mensajes anteriores porque estoy de acuerdo. me parece algo para hacer menos consultas y usar menos ancho de banda que por un tema de privacidad si consultas una zona con any, mizona.com te devolverá todos los registros directamente asociados que serían casi siempre MX porque estan en la zona @, registros TXT como spf o alguna info y la ip del o los dns y en algunos casos también te saldrá la ip del MX.  En la consulta any no saldrán por ejemplo registros SRV o DKIM porqué para el SRV tendrás que saber el servicio y su protocolo y el DKIM tendrás que saber el selector que esta en el contenido del mensaje con la ruta en dns de la llave publica, por lo que no veo donde esta la privacidad, tendrías un problema de seguridad si se pueden hacer transferencias de zonas desde tu dominio porque el esclavo podrá ver todos los registros. Los servicios no hacen consultas de registros ANY buscan lo que necesitan directamente  (.->NS-A->.com->NS-A->mizona.com->MX-A) por lo cual al limitar esto no estan limitando la funcionalidad de servicios que usan dns y si estan reduciendo su uso de ancho de banda y de cierta forma estan limitando un DDOS a sus dns con millones de consultas tipo ANY que serán mucho mas grandes que un registro A o CNAME->A de una web que es lo que en realidad necesita el usuario final. 

Saludos


2018-05-11 17:55 GMT+01:00 Ricky Gutierrez <[hidden email]>:
El día 11 de mayo de 2018, 9:34, Hector Colina <[hidden email]> escribió:

>
> Quizás te refieras a "domain privacy" el cual es un servicio extra que
> ofrecen muchos operadores de dns comerciales.
>
> La teoría es sencilla:
>
> * Cada vez que se hace una consulta de un fqdn hay un dns autorizado
> que responde por dicho dominio. Este dns autorizado almacena
> información del titular de dicho dominio (para mayor información
> buscar los RFC respectivos)
>
> * Ya que el estandar define que la información es pública... no puede
> haber una consulta que devuelva esos campos vacios.
>
> Si alguien, entonces, quisiera ocultar sus datos personales, a secas,
> no puede hacerlo por lo que se han implementado una serie de medidas
> que, en su conjunto, se denominan "domain privacy"
>
> Estas medidas son múltiples y casi todas, pasan por la existencia de
> un "proxy" que es el que muestra la información obligatoria requerida
> pero con datos que no son los reales es decir, datos propios.
>
> Inclusive existen países con normativas propias al respecto, por
> ejemplo, los dominios .us deben mostrar públicamente toda la
> información necesaria por lo que el domain privacy no puede ser
> aplicado en USA.
>
> En definitiva, puedes preguntar a tu proveedor de dominios si para el
> domino que posees aplica el domain privacy.
>
> Sin más a que hacer referencia.


Hector has dando en el tiro , de eso es lo que hablo.





--
rickygm

http://gnuforever.homelinux.com


Reply | Threaded
Open this post in threaded view
|

Re: Zona dns

Dixan Rivas

2018-05-19 20:11 GMT+01:00 Dixan Rivas <[hidden email]>:
Donde único he visto eso implementado es en en los servidores de Cloudflare 1.1.1.1 1.0.0.1 si lo consultas con tipo any te dirá Not implemented.
Amplio un poco más en lo que decia dererk en mensajes anteriores porque estoy de acuerdo. me parece algo para hacer menos consultas y usar menos ancho de banda que por un tema de privacidad si consultas una zona con any, mizona.com te devolverá todos los registros directamente asociados que serían casi siempre MX porque estan en la zona @, registros TXT como spf o alguna info y la ip del o los dns y en algunos casos también te saldrá la ip del MX.  En la consulta any no saldrán por ejemplo registros SRV o DKIM porqué para el SRV tendrás que saber el servicio y su protocolo y el DKIM tendrás que saber el selector que esta en el contenido del mensaje con la ruta en dns de la llave publica, por lo que no veo donde esta la privacidad, tendrías un problema de seguridad si se pueden hacer transferencias de zonas desde tu dominio porque el esclavo podrá ver todos los registros. Los servicios no hacen consultas de registros ANY buscan lo que necesitan directamente  (.->NS-A->.com->NS-A->mizona.com->MX-A) por lo cual al limitar esto no estan limitando la funcionalidad de servicios que usan dns y si estan reduciendo su uso de ancho de banda y de cierta forma estan limitando un DDOS a sus dns con millones de consultas tipo ANY que serán mucho mas grandes que un registro A o CNAME->A de una web que es lo que en realidad necesita el usuario final. 

Saludos


2018-05-11 17:55 GMT+01:00 Ricky Gutierrez <[hidden email]>:
El día 11 de mayo de 2018, 9:34, Hector Colina <[hidden email]> escribió:

>
> Quizás te refieras a "domain privacy" el cual es un servicio extra que
> ofrecen muchos operadores de dns comerciales.
>
> La teoría es sencilla:
>
> * Cada vez que se hace una consulta de un fqdn hay un dns autorizado
> que responde por dicho dominio. Este dns autorizado almacena
> información del titular de dicho dominio (para mayor información
> buscar los RFC respectivos)
>
> * Ya que el estandar define que la información es pública... no puede
> haber una consulta que devuelva esos campos vacios.
>
> Si alguien, entonces, quisiera ocultar sus datos personales, a secas,
> no puede hacerlo por lo que se han implementado una serie de medidas
> que, en su conjunto, se denominan "domain privacy"
>
> Estas medidas son múltiples y casi todas, pasan por la existencia de
> un "proxy" que es el que muestra la información obligatoria requerida
> pero con datos que no son los reales es decir, datos propios.
>
> Inclusive existen países con normativas propias al respecto, por
> ejemplo, los dominios .us deben mostrar públicamente toda la
> información necesaria por lo que el domain privacy no puede ser
> aplicado en USA.
>
> En definitiva, puedes preguntar a tu proveedor de dominios si para el
> domino que posees aplica el domain privacy.
>
> Sin más a que hacer referencia.


Hector has dando en el tiro , de eso es lo que hablo.





--
rickygm

http://gnuforever.homelinux.com