Jump to content

Bästa routern - IIS/.SE har testat

Amar

By Amar
in Nätverk, internet och bredband

 Share

Recommended Posts

Amar

Amar

Posted
Posted

Många undrar vad IIS som driver den svenska toppdomänen .se gör med sin vinst. Här är ett exempel på hur pengarna kommer tillbaka som nytta för användarna. De har testat ett antal "hemmaroutrar" och fått fram hur bra deras prestanda är samt om de stöder saker som t.ex DNSSec mm:

Pressreleasen:

http://www.iis.se/about/press?id=135

Testen:

http://www.iis.se/docs/Routertester.pdf

Link to comment
Share on other sites
plun

plun

Posted
Posted

Något "abstarkt" skriven... 8)

- Det stora problemet ur ett DNSSEC-perspektiv är att majoriteten av hemmaroutrarna inte har klarat av DNSSEC ner på applikationsnivå på datorn. Det är inget problem så länge valideringen sköts av till exempel Internetlevantörens DNS-resolver, men däremot när en applikation på klienten kräver egen DNSSEC-validering, säger Patrik Wallström, projektledare .SE Forskning och Utveckling.

Om en användare håller sig till någon av de stora webläsarna så ska ju en säker anslutning valideras....

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

Mozilla har försökt göra det här "övertydligt" i Firefox 3. Nu är det klart rimligt efter x antal ändringar.

Sen i Sverige så är ju inte DNS något större problem eftersom operatörerna sköter DNS klart bra jämfört med

tex USA där OpenDNS har en marknad.

D-Link/Netgear har ju länge fått skäll men det är 99 gånger av 100 enbart ett firmware problem och att masa sig till

deras supportsida.

Men vi har ju även fristående e-certifikats applikationer som svenska knådare kokat ihop.... ;D

Link to comment
Share on other sites
Amar

Amar

Posted
  • Author
Posted
Om en användare håller sig till någon av de stora webläsarna så ska ju en säker anslutning valideras....

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

Mozilla har försökt göra det här "övertydligt" i Firefox 3. Nu är det klart rimligt efter x antal ändringar.

Sen i Sverige så är ju inte DNS något större problem eftersom operatörerna sköter DNS klart bra jämfört med

tex USA där OpenDNS har en marknad.

D-Link/Netgear har ju länge fått skäll men det är 99 gånger av 100 enbart ett firmware problem och att masa sig till

deras supportsida.

Men vi har ju även fristående e-certifikats applikationer som svenska knådare kokat ihop.... ;D

SSL/CERT whatever har inget att göra med DNSSec. DNS dras med en inbyggd svaghet och det är att idag inte finns någon säker metod att verifiera att svaret man få är äkta och inte har manipulerats. DNSSec löser detta genom att man signerar varandras zoner med en egen nyckel och att det går att verifiera att källan är korrekt och att innehållet inte har ändrats (tänk PGP).

Problemet har visat sig under test med DNSSec i sverige är att vissa routrar inte fixar DNS-paket som har signerats via DNSSec. Dessa routrar kastade paketen i tysthet och användarens access dog. Därför gjordes denna test för att kolla vilka routrar som stöder den standard som faktiskt finns.

Link to comment
Share on other sites
plun

plun

Posted
Posted
SSL/CERT whatever har inget att göra med DNSSec. DNS dras med en inbyggd svaghet och det är att idag inte finns någon säker metod att verifiera att svaret man få är äkta och inte har manipulerats. DNSSec löser detta genom att man signerar varandras zoner med en egen nyckel och att det går att verifiera att källan är korrekt och att innehållet inte har ändrats (tänk PGP).

Jo men nu gällde ju testet hemroutrar och läs webläsare som applikation.

Om någon då skulle lyckas manipulera DNS så är det ju webläsarens sak att larma

att det här är inte Nordea eller SJ osv....

Just den här larmningen har då Mozilla ändrat x gånger i Firefox3.

Jag kan inte se behovet av att bränna pengar på routrar när en 500kr router från

D-Link eller Netgear bara funkar...

Sen kan det ev vara en pedagogisk fråga att förklara det här med hur det ska se ut

när man befinner sig på en säker site.  Nu vet ju bankerna att det just nu är minimala risker och

enbart ett fåtal egentligen skulle kunna göra bort sig och man tar hellre riskerna för att täcka förluster.

Sen är det en helt annan femma för företagsuppkoplingar  mot säkra servrar.... Apoteket var i blåsväder där man

sände allting okrypterat utan vad jag uppfattade det någon säkerhetsverifiering men det är ju en annan femma

äm hemroutrar och hemapplikationer.

Link to comment
Share on other sites
Amar

Amar

Posted
  • Author
Posted
Jo men nu gällde ju testet hemroutrar och läs webläsare som applikation.

Nja, det är väl inte exklusivt bara detta? Testen kom bl.a till för att man märkte att DNSSec inte fungerade som det skulle tillsammans med ett antal applikationer. Web var en utav dem. Men i grunden gäller det alla typer som använder DNS.

Om någon då skulle lyckas manipulera DNS så är det ju webläsarens sak att larma

att det här är inte Nordea eller SJ osv....

Just den här larmningen har då Mozilla ändrat x gånger i Firefox3.

Var "larmet" kommer ifrån är en smaksak. Men om man manipulerar DNS så kommer inte certifikatet att "flagga". Det är kodat mot en viss host. Om IP-adressen bakom denna host ändras, är felaktig eller falsk kan inte certet bedömma. Inte idag i allafall.

Jag kan inte se behovet av att bränna pengar på routrar när en 500kr router från

D-Link eller Netgear bara funkar...

Sen kan det ev vara en pedagogisk fråga att förklara det här med hur det ska se ut

när man befinner sig på en säker site.  Nu vet ju bankerna att det just nu är minimala risker och

enbart ett fåtal egentligen skulle kunna göra bort sig och man tar hellre riskerna för att täcka förluster.

Nu tänker du nog på certet igen.

Sen är det en helt annan femma för företagsuppkoplingar  mot säkra servrar.... Apoteket var i blåsväder där man

sände allting okrypterat utan vad jag uppfattade det någon säkerhetsverifiering men det är ju en annan femma

äm hemroutrar och hemapplikationer.

Jag tror att DNS spoofing kommer att bli mer vanligt i framtiden. Om man lyckas med detta så kan man göra en massa elakt.

Link to comment
Share on other sites
plun

plun

Posted
Posted
Var "larmet" kommer ifrån är en smaksak. Men om man manipulerar DNS så kommer inte certifikatet att "flagga". Det är kodat mot en viss host. Om IP-adressen bakom denna host ändras, är felaktig eller falsk kan inte certet bedömma. Inte idag i allafall.

Jo som jag förstår tekniken med Extended Validation så kommer det att flaggas som en falsk sida.

Sen tror jag inte att DNS kommer att vara särskilt sårbart, iaf om USA får behålla kontrollen samt att

man från tex PTS sköter tillsynen av funktionen och sparkar lata operatörer i baken.

Jag tar rapporten som en "As Is" och ser inget akut med detta.

Däremot är det mer akut att få över alla till IE7 samt nya Firefox 3 som kommer om någon/några veckor.

Plus att då banker mfl uppgraderar sina certifikat till Extended Validation...kostar väl så det tar kanske tid.. ;)

Slutligen så finns det då krafter som ifrågasätter samarbeten kring tex Extended Validation samt

speciellt svenska intressen som ska uppfinna egna hjul isf att jobba i större sammanhang.

(då tjänar konsulter pengar)  :D

Link to comment
Share on other sites
Amar

Amar

Posted
  • Author
Posted

DNS *är* sårbart. Jag har jobbat med det sedan -95 och vet att den gamla damen inte är riktigt kry. Tyvärr så förlitar sig alldeles för många på att DNS-svaret de får alltid är sanning. Och bygger sin säkerhetslösning på det. Mao, faller DNS så faller allt annat.

Men nu är DNSSec på gång vilket känns tryggt.

Link to comment
Share on other sites
plun

plun

Posted
Posted
DNS *är* sårbart. Jag har jobbat med det sedan -95 och vet att den gamla damen inte är riktigt kry. Tyvärr så förlitar sig alldeles för många på att DNS-svaret de får alltid är sanning. Och bygger sin säkerhetslösning på det. Mao, faller DNS så faller allt annat.

Men nu är DNSSec på gång vilket känns tryggt.

Njua...  de här gamla damerna är sega.  :Dhttp://www.informationweek.com/story/showA...cleID=197003903

Om nu även USA inte tillåter någon att "politisera" detta så står dom nog emot...

Jag skulle nog prioritera utrotandet av IE6.... "kostar gratis".... ;)

Finns visst en massa företag också som inte kan slita sig.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...