The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода

29.04.2021 09:55

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named.

Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba.

Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.

Так как критические уязвимости во встроенной реализации SPNEGO находили и ранее, реализация данного протокола удалена из кодовой базы BIND 9. Для пользователей, которым необходима поддержка SPNEGO, рекомендовано использовать внешнюю реализацию, предоставляемую системной библиотекой GSSAPI (предоставляется в MIT Kerberos и Heimdal Kerberos).

Пользователи старых версий BIND в качестве обходного пути блокирования проблемы, могут отключить GSS-TSIG в настройках (параметры tkey-gssapi-keytab и tkey-gssapi-credential) или пересборать BIND без поддержки механизма SPNEGO (опция "--disable-isc-spnego" в скрипте "configure"). Проследить за появлением обновлений в дистрибутивах можно на страницах: Debian, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD. Пакеты RHEL и ALT Linux собираются без встроенной поддержки SPNEGO.

Дополнительно в рассматриваемых обновлениях BIND устранено ещё две уязвимости:

  • CVE-2021-25215 - крах процесса named при обработке записей DNAME (редирект обработки части поддоменов), приводящих к добавлению в секцию ANSWER дубликатов. Для эксплуатации уязвимости на авторитетных DNS-серверах требуется внесение изменений в обрабатываемые DNS-зоны, а для рекурсивных серверов проблемная запись может быть получена после обращения к авторитетному серверу.
  • CVE-2021-25214 - крах процесса named при обработке специально оформленного входящего запроса IXFR (используется для инкрементальной передачи между DNS-серверами изменений в зонах DNS). Проблеме подвержены только системы, разрешившие передачу зон DNS с сервера атакующего (обычно передача зон используется для синхронизации master- и slave-серверов и выборочно разрешается только для заслуживающих доверие серверов). В качестве обходного пути защиты можно отключить поддержку IXFR при помощи настройки "request-ixfr no;".


  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Уязвимости во FreeBSD, IPnet и Nucleus NET, связанные с ошибками при реализации сжатия в DNS
  3. OpenNews: Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода
  4. OpenNews: Уязвимости в Dnsmasq, позволяющие подменить содержимое в кэше DNS
  5. OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
  6. OpenNews: Атака SAD DNS для подстановки фиктивных данных в кэш DNS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55042-bind
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (73) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:14, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Опять какой-то вуз постарался?
     
     
  • 2.3, Гэндальф (?), 10:31, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да не, просто ДЫРЕНИ
     
     
  • 3.43, Анонимъ (?), 18:14, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    СИШНЫЕ

    Фрактала на вас нет

     
  • 2.7, Wilem82 (ok), 11:05, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Да не, обычный результат работы сишников.
     
     
  • 3.12, pin (??), 12:30, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    О, специалисты уровня "Hello, world" подтянулись.
     
     
  • 4.14, Леголас (ok), 12:47, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, приветмировцы передают пламенные приветы своим тесным миркам всеми доступными языками, а тут просто Си-[фобия, ненависть, зависть, что-нибудь по Фрейду].
     
  • 4.15, Wilem82 (ok), 12:52, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Ты правда считаешь, что надо быть специалистом чего-либо, что бы указать на факт дырявости сей? Вся история уязвимостей об этом прямо говорит.
     
     
  • 5.16, Аноним (16), 12:57, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Ты правда считаешь, что надо быть специалистом чего-либо, что бы указать на
    > факт дырявости сей? Вся история уязвимостей об этом прямо говорит.

    Просто это неосиляторы с кривыми руками писали!
    А виноваты в этом только вы и вам подобные!
    Вместо того чтобы писать код, пряморуким экспертам все свое свободное время приходится на опеннете защищать Великий Си от непочтительных растаманов и питонистов!

     
  • 5.17, pin (??), 13:01, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    История уязвимостей говорит, что дырявые программисты, я не языки программирования.
     
     
  • 6.19, Wilem82 (ok), 13:27, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > История уязвимостей говорит, что дырявые программисты, я не языки программирования.

    И? Если проходят десятилетия, а программисты всё равно допускают эти ошибки, значит надо улучшать язык, а не продолжать пенять на несовершенство разума и огребать дыры. У тебя цель-то какая - сделать качественный софт, или доказать всем какие они дураки?

     
     
  • 7.24, pin (??), 13:43, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > а программисты всё равно допускают эти ошибки, значит надо улучшать язык

    Строители по прежнему через ж-пу штукатурят и крадут блоки. По твоей логике, надо улучшать штукатурку и блоки.

     
     
  • 8.25, pin (??), 13:43, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    s крадут кладут... текст свёрнут, показать
     
     
  • 9.31, Аноним (1), 14:45, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    одно другому не мешает ... текст свёрнут, показать
     
  • 8.27, Wilem82 (ok), 13:52, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если улучшение инструментов закономерно приведёт к улучшению результата, то - да... текст свёрнут, показать
     
     
  • 9.50, pin (??), 19:56, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если тупым дать хороший интрумент, они умнее не станут и продолжат делать плохо ... текст свёрнут, показать
     
     
  • 10.51, Wilem82 (ok), 20:04, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тупые - это которые ошибки допускают, правильно понимаю То есть разработчики ли... текст свёрнут, показать
     
     
  • 11.55, pin (??), 20:46, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты потерял смысл разговора и не можешь логично мыслить Сейчас ты докопался до ... текст свёрнут, показать
     
  • 7.33, Fracta1L (ok), 14:53, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Смотря какие мотивы. Некоторые люди хотят сделать мир лучше, поэтому они придумывают более надёжные и удобные инструменты вроде Rust. А некоторым болезным хочется дать волю своим комплексам забитых ботанов, поэтому они зубами держатся за сишку, с помощью которой можно тухленько понтоваться "да я, да мы".
     
     
  • 8.35, булочка (?), 15:21, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поправил, не благодаря Вы там хоть с памятью работать научились или до сих пор... текст свёрнут, показать
     
  • 8.36, булочка (?), 15:22, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поправил, не благодаря Вы там хоть с памятью работать научились или до сих пор... текст свёрнут, показать
     
     
  • 9.37, Аноним (-), 15:32, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это такой своеобразный камингаут то ли мазохиста, то ли ламериста ... текст свёрнут, показать
     
     
  • 10.39, Аноним (39), 16:37, 29/04/2021 Скрыто модератором
  • –2 +/
     
     
  • 11.41, Аноним (-), 17:06, 29/04/2021 Скрыто модератором
  • +1 +/
     
     
  • 12.44, Аноним (44), 18:26, 29/04/2021 Скрыто модератором
  • –1 +/
     
  • 8.67, Аноним (67), 14:39, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты очевидно не хочешь Сделай мир лучше, выпий йаду ... текст свёрнут, показать
     
  • 7.38, ананим.orig (?), 15:43, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > значит надо улучшать язык

    кастрация помогает в танцах, но не приносит плодов.

    зыж
    еще есть вопросы про десятилетия?
    очередной мерин лет через дцать окочурется, а вы по прежнему будете комментить в новостях про си?
    или поумнеете?

     
  • 7.40, Аноним (39), 16:42, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Если проходят десятилетия, а программисты всё равно допускают эти ошибки, значит надо уволить программиста.

    Поправил.

    Язык тут причём? Если за 10 лет человек не освоил язык программирования то гнать такого программиста надо. Эпичных неосиляторов вроде фрактала и ипоно надо вообще стерилизовать и закрывать в подземном бункере.

     
     
  • 8.45, Wilem82 (ok), 18:30, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как ты заранее определишь, допустит программист ошибку или нет А если не може... текст свёрнут, показать
     
  • 7.66, Sw00p aka Jerom (?), 11:25, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >или доказать всем какие они дураки?

    дайте совет, как дураку доказать, что он дурак? достаточно при этом доказать, что сам не дурак?

     

  • 1.2, Аноним (2), 10:24, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А есть какие-нибудь альтернативы BINDырени?
     
     
  • 2.4, Аноним (4), 10:56, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Альтернатив полно, от Powerdns до Dnsmasq и CoreDNS. Конечно же есть ещё и NSD и Unbound, но только тебе решать что подойдёт в твоём конкретном случае.
     
  • 2.5, Pahanivo (ok), 10:56, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока проги пишет естественный интеллект всегда и везде будутЪ дырени ))
     
     
  • 3.6, suffix (ok), 11:05, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А когда проги будет писать искусственный интеллект до вместо "дыреней" будет просто отдельный "чёрный вход" для самого ИИ - и не уверен что это будет лучше ...
     
  • 3.32, Аноним (1), 14:47, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока проги пишет естественный интеллект

    Но... ЕИ пишет и тот самый ИИ, который потом будет писать проги. Получается, дыры в ИИ будут переложены на проги.

     
  • 2.20, Wilem82 (ok), 13:34, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А есть какие-нибудь альтернативы BINDырени?

    Trust-dns на расте.

     
     
  • 3.75, _ (??), 05:10, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как и всё на ржавчике - неюзабельное оно! :\
     
  • 2.61, wd (?), 05:03, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    djbdns
     

  • 1.8, Урри (ok), 11:27, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Такое чувство, что каждую неделю в нем находят очередную дыру.

    Кандидат в "самый дырявый продукт".

     
     
  • 2.9, kravich (ok), 11:29, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Популярный просто
     
     
  • 3.10, Lex (??), 11:44, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чем популярней - тем дырявей.. прям как в жизни
     
     
  • 4.11, Specs (?), 12:05, 29/04/2021 Скрыто модератором
  • –3 +/
     
     
  • 5.23, kravich (ok), 13:40, 29/04/2021 Скрыто модератором
  • +2 +/
     
  • 4.22, kravich (ok), 13:39, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чем популярнее - тем активнее дырки ищут же...
     
  • 3.48, пох.. (?), 19:43, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да нет, там дело не только в популярности, сколько в самом протоколе,  который и изначально нифига не был простым, а обвешан костылями так и вовсе невменяемо (у меня, традиционно, нет никакой проблемы с моими ns - там bind без ненужного ненужно собран), и в том что это - продукт ISC, написанный студотой за зачет. Причем каждое новое поколение второкурсников оказывалось не в силах разобраться с творением предыдущих, и начинало его переписывать заново. С каждым разом все хуже и хуже. (4я-то версия еще была вполне ничего) Последние - вообще на впихоне (но они, кажется, в результате завалили сессию и пошли в макдак на кассу).

    Ставь винду, там все норм с авторизацией, да и сам сервер вполне ничего так.
    Особенно если приходится еще и dhcp использовать.

     
     
  • 4.54, Онаним (?), 20:14, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот если надо интеграцию DHCP с DNS - поддержу, лучше божественного винсервера для этого не придумано.
    Другое дело, что это нужно в основном в особых случаях эпичного кровавого энтерпрайза.
     
     
  • 5.62, пох.. (?), 07:06, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Угу, например - если этот самый ентер-прайс использует шва...бесплатную версию openshift v4.

    С модной-современной технологией операционной системы целиком из докеров в докере под докером. Уп-с, оказывается был еще какой-то resolv.conf ? НО у нас же модная-современная операционная система без персистентных конфигов! Ну ничего, зато dhcp умеет создавать его на ходу.

     
  • 5.69, СеменСеменыч777 (?), 17:56, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > лучше божественного винсервера для этого не придумано.

    и с эти людьми я сижу на одном ресурсе. фу.
    обработка dhcpd.leases любым скриптом и подсовывание результата в named намного лучше,
    чем общение svchost.exe с svchost.exe по RPC или как они там общаются.
    в первое я могу вмешаться, во второе - нет.

     
     
  • 6.72, Онаним (?), 19:26, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень стильно, очень модно, и очень молодёжно. Вот только такая обработка "любым скриптом" выливается в задержку от подключения до обновления DNS. Обычно пихают в крон, а значит не менее минуты.

    Я по приколу делал просто вызов скрипта из dhcpd, это несколько проще. Но всё равно, постоянно гонять всю эту связку, регать адрес в бинде - ужасный лютый геморрой. Когда клиентов много, тот ещё ад.

     
     
  • 7.73, СеменСеменыч777 (?), 23:18, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень стильно, очень модно, и очень молодёжно.

    во как. а меня tyt старпером обзывают, интересуются "видел ли я живых мамонтов".
    да, видел. это была ЕС-1045, помню как сейчас.

    > выливается в задержку от подключения до обновления DNS

    кто понял жизнь, тот не спешит.

    > регать адрес в бинде

    а вот DDNS точно не нужна. либо я не понял системы с ключами и сретификатами (да и не очень-то хотел понимать).

     

  • 1.13, pin (??), 12:34, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Пакеты RHEL и ALT Linux собираются без встроенной поддержки SPNEGO.

    А как же там самый стабильный, самый протестированный и самый ынтерпрайзный дистрибутив debian? Опять пролетает, как с exim?

     
  • 1.18, Full Master (?), 13:07, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чем оно лучше Unbound?
     
     
  • 2.26, Аноним (26), 13:44, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бинд может обслуживать зону домена, а unbound - только форвардер.

    Если бинд сравнивать с парой nsd+unbound, то тут уже не в пользу бинда сравнения. И в производительности, и в простоте настройки. Бинд - это такой апач в мире DNS-серверов.

     
     
  • 3.68, Аноним (-), 16:08, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > unbound
    > уже не в пользу бинда

    Очень смешно. Он уже научился хотя бы делать аналог view без костылей?

     

  • 1.21, Аноним (26), 13:36, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Bind не надо использовать, он уже давно имеет более качественные альтернативы. И авторитативные, и форвардеры.
     
  • 1.28, Онаним (?), 13:56, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обычные дыры обычных виндопротоколов.
    Которые настолько переусложнены, что там без ведра не разберёшься.
     
  • 1.29, Аноним (29), 14:05, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Для пользователей, которым необходима поддержка SPNEGO, рекомендовано использовать внешнюю реализацию, предоставляемую системной библиотекой GSSAPI (предоставляется в MIT Kerberos и Heimdal Kerberos).

    В венде за это отвечает SSPI.

    Вот почему нельзя в Linux запилить и стандартизировать аутентификацию Negotiate одной либой (ну ладно двумя ради diversity), а не тащить недоделанные велосипедные реализации в каждую программу/демон по отдельности. Религия не позволяет?

    Так-то Negotiate - это сложный способ аутентифицироваться. Я понимаю, что это не надо в докере, но не докером единым же, блин...

     
     
  • 2.30, Роман (??), 14:36, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот почему нельзя в Linux запилить и стандартизировать аутентификацию Negotiate одной либой (ну ладно двумя ради diversity)

    Религия как раз позволяет цвести всем цветам. Если пилить одну реализацию, каждый не сможет делать это не зависимо, придется общаться с другими людьми, а у них экспертное мнение по важным вопросам может отличаться и всё, проект встанет. Менеджера с зарплатой над ними ведь не будет.

     
     
  • 3.58, Аноним (58), 02:17, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лебедь, рак и щука получается, а не "цветы".
     
     
  • 4.79, Роман (??), 15:40, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Лебедь, рак и щука получается, а не "цветы".

    Ну если заказчика всё устраивает, то и пусть так.

     

  • 1.42, kusb (?), 17:22, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В наивных фантазиях мне казалось, что DNS - это очень простой протокол. Ты его спрашиваешь про имя, а он отвечает циферки, ну или спрашивает другой DNS. Ну или кеширует. Оказалось, что он не прост. Он оказывается этим то интересен и я раньше не понимал даже как работает "почта для домена" Но в непростом то дырки постоянно и находят...
     
     
  • 2.46, Аноним (26), 19:02, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    FTP очень прост, но секурного сервера для него так и не сделали. Протокол успел устареть и выйти из употребления.
     
     
  • 3.49, пох.. (?), 19:45, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    сделали. Не сделали клиента. Вот вообще ни одного.

    Потом рассказывали сказки что "устарел". Потом не вышел из употребления (никто тем сказкам так и не поверил) а был прицельно уничтожен гуглем.

     
     
  • 4.53, kusb (?), 20:13, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А в принципе зачем особенно нужен ftp в браузере? Возможно нужна интеграция, чтобы при клике на ftp: открывался файловый менеджер (или менеджер закачки) с этим сервером, а так мы прикручиваем к браузеру какую-то функциональность, которая для него лишняя, ftp клиент там или менеджер закачки.
    Да, на ftp можно (было) делать сайты и показывать веб странички, но эта возможность казалась мне скорее курьёзной.
     
  • 4.56, Аноним (-), 21:31, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Не сделали клиента. Вот вообще ни одного.

    МирДверьМяч?
    https://en.wikipedia.org/wiki/Comparison_of_FTP_client_software#Protocol_suppo

     
     
  • 5.63, пох.. (?), 07:08, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    найди мне в этой куче мусора хотя бы один, поддерживающий CCC

     
  • 3.52, Онаним (?), 20:12, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Засекурили протокол. Сверху навесили SSL, и получился FTPS.
    И нет, вопреки всему даже обычный ещё не вышел из употребления.
    Что же до секурности серверов - vsftpd, proftpd - на выбор. Да, дыры в них бывают, но дыры бывают везде.
     
     
  • 4.57, Аноним (26), 23:50, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, такой дырявости, как в proftpd - нигде не было и не будет.
    vsftpd лучше - но не сильно.

    FTPS - эзотерика, никем не используется. В основном народ перешел на sftp, который по сути своей SSH. FTP если и используется, то на виртуальных хостингах (в последний раз пользовал виртуальный хостинг более 10 лет назад, а вы?).

     
  • 4.59, Аноним (58), 02:29, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > FTPS

    Оно не популярно из-за того что в сетевом оборудовании везде NAT.
    NAT не стандартизирован между вендорами сетевого оборудования.
    Поверх нестандартного NAT каждый вендор пилит нестандартное решение ALG
    FTP в общем случае требует разбора служебного траффика на роутере/файрволе, который реализует NAT
    FTPS шифрует и не дает роутеру решать проблему своей реализации NAT своими реализациями ALG.

    Не спешите только рассказывать про то, что можно порты пробросить/ALG отключить.
    У себя вы все сделаете, а у удаленной стороны как?

    Тем не менее при правильной настрокке он все равно быстрее и надежнее того же SFTP.

     
     
  • 5.70, Онаним (?), 19:23, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно не популярно из-за того что в сетевом оборудовании везде NAT.

    С PASV оно прекрасно пролазит через большинство NAT, кроме анальных файрволов, которые на выход лимитируют.
    И никакого ALG в PASV банально не нужно - просто открытый диапазон портов на сервере.

    > FTPS шифрует и не дает роутеру

    лезть в чужой трафик - очень хорошо.

    > У себя вы все сделаете, а у удаленной стороны как?

    У себя на сервере я тупо открою группу портов для PASV, и удалённую сторону ничего волновать не будет.


     
     
  • 6.71, Онаним (?), 19:24, 30/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    (собственно так оно и сделано. более того, у нас порты открыты только на фронтендах, откуда прокся, разобрав протокол, уже распределяет юзеров по бэкендам)
     
     
  • 7.74, пох.. (?), 00:24, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > (собственно так оно и сделано. более того, у нас порты открыты только
    > на фронтендах, откуда прокся, разобрав протокол, уже распределяет юзеров по бэкендам)

    А наивный-то юзер думает, что его траффик - шифрованный. Ну да, ну да "это другое".

     
     
  • 8.76, Онаним (?), 09:18, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Трафик от юзера до собственно нашей закрытой сервисной сети - шифрованный Чего ... текст свёрнут, показать
     
     
  • 9.77, Онаним (?), 09:20, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    сервисная сеть - не паблик, не идёт через паблик, не идёт через арендованные ка... текст свёрнут, показать
     
  • 9.78, Онаним (?), 09:25, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну и да, врезка васяна в линки этой сети - что в силу используемых DC имеет о... текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру