[Discuss] DNS-Amplification Attack Security Patch

[Markus Gschwendt]

On Thu, 2012-06-14 at 13:29 +0200, Erich N. Pekarek wrote:
> Am 2012-06-14 13:00, schrieb Markus Gschwendt:
...
> Das Fehlkonzept in Openwrt besteht darin, dass sich wohl niemand 
> Gedanken über Sicherheitsaspekte gemacht hat.

naja... 'notinterface' ist super unschön, abgesehen von sicherheit.

> > es ist immer schlecht zuerst alles aufzumachen und dann das zuzusperren
> > was man nicht offen haben will. das sollte genau umgekehrt sein.
> Ganz meine Rede. Mit der Option --bind-interfaces in Kombination mit 
> --interface=lo tust Du genau das. Alternativ kannst Du auch die 
> IP-Adressen mit --listen-address=w.x.y.z angeben.
> Dann macht er genau das, was er soll.
...

du vermischt hier das (l)uci konzept mit der direkten config des
dnsmasq. die probleme liegen mbmn in der (l)uci config und den openwrt
scripts,nicht beim dnsmasq. man kann den gleichen schrott mit den
anderen dns/dhcp/... servern auch machen.

ich find den dnsmasq nicht so schlecht für diese anwendung.
das einzige problem das ich 2010 hatte war das logging, aber das war
recht speziell und führt hier zu weit (weil für 0xff nicht relevant).

markus

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 1965 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120614/64e79969/attachment.bin>