Bezpečnostní praxe za desítky let radil lidem, aby limit DNS dotazy proti jejich DNS servery používat pouze UDP port 53. Skutečností je, že dotazy DNS mohou také použít port TCP 53, pokud není přijat port UDP 53. Nyní s blížícím se nasazením DNSSEC a případným přidáním IPv6 budeme muset povolit naše brány firewall pro předávání paketů TCP i UDP port 53.

DNS mohou útočníci použít jako jednu z jejich průzkumných technik., Veřejné informace obsažené v cílových serverech jsou pro útočníka cenné a pomáhají jim soustředit útoky. Útočníci mohou pomocí dotazů získat informace DNS pomocí různých technik. Hackeři se však často pokoušejí provést přenos zóny z vašich autoritativních serverů DNS, aby získali přístup k ještě více informacím. Pomocí příkazu dig můžete shromažďovat informace ze serveru pro konkrétní soubor zóny.,

dig @192.168.11.24 example.org -t AXFR

zónové přenosy probíhají přes TCP, port 53 a aby se zabránilo naše DNS servery z vyzrazení důležité informace pro útočníky, TCP port 53 je obvykle blokován. Pokud organizace firewall chrání autoritativní DNS server povolen TCP port 53 pakety a server DNS byl nakonfigurován tak, aby povolit přenosy zóny pro každého, pak to kopat příkaz by být úspěšný. Většina organizací však nakonfigurovala své servery DNS, aby zabránila přenosům zón z nezamýšlených serverů DNS., To lze nakonfigurovat v souboru BIND zone pomocí kterékoli z těchto forem příkazu povolit přenos, jak je uvedeno níže.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

navíc většina organizací také použila firewally k blokování portu TCP 53 na A ze svých serverů DNS a Internetu. Jedná se o dvojí ochranu v případě, že server DNS omylem povolil přenosy.

konfigurace serverů DNS tak, aby umožňovala přenos zón pouze legitimním serverům DNS, byla vždy a nadále nejlepší praxí., Praxe popírání portu TCP 53 na A ze serverů DNS však začíná způsobovat některé problémy. Existují dva dobré důvody, proč bychom chtěli povolit připojení TCP i UDP portu 53 k našim serverům DNS. Jedním z nich je DNSSEC a druhým IPv6.

DNSSEC vytváří větší DNS odpovědi

miluji čtení IP deníku a četl jsem ho od prvního vydání v roce 1998.

V nedávném vydání IP Journal byl článek můj kamarád, Stephan Lagerholm, Secure64 a Texas IPv6 Task Force, s názvem „Provozní Problémy Při Zavádění DNSSEC“., Tento článek se týkal mnoha upozornění, na které se organizace setkávají, když se přesouvají k nasazení DNSSEC.

jedním z uvedených klíčových problémů je, že DNSSEC může způsobit, že odpovědi DNS budou větší než 512 bajtů. DNSSEC (definovaný v RFC 4033, RFC 4034 a RFC 4035) vyžaduje schopnost přenášet větší zprávy DNS kvůli dalším klíčovým informacím obsaženým v odpovědích dotazu. TCP port 53 lze použít v případech, kdy DNS odpovědi větší než 512 bajtů., Použití zpráv UDP je však vhodnější než použití protokolu TCP pro velké zprávy DNS kvůli skutečnosti, že připojení TCP mohou spotřebovávat výpočetní prostředky pro každé připojení. Servery DNS získají řadu připojení za sekundu a pomocí TCP mohou přidat příliš mnoho režijních nákladů. K řešení tohoto problému, IETF RFC 2671 „Mechanismů Rozšíření pro službu DNS (EDNS0)“ definuje metodu rozšířit UDP buffer size na 4096 bajtů povolit DNSSEC a větší odpovědích na dotazy., Povolit EDNS0 na své BIND 9 konfiguraci můžete použít následující VÁZAT operace prohlášení,

edns-udp-size 4096 ;

Povědomí o DNSSEC zvýšil v důsledku chyb zveřejněny před 2 lety a s nejnovější zprávy o Usa vláda snaží zavést. Mnoho organizací plánuje nasazení DNSSEC. DNSSEC je nyní stále rozšířenější, když jsou podepsány Klíčové domény nejvyšší úrovně (TLDs). TLD. org byl nyní podepsán. Kořenová zóna internetu byla podepsána právě před 2 měsíci na obřadu ve Virginii., VeriSign uvedl svou touhu podpořit DNSSEC pro. com a. net do roku 2011. Comcast vytvořil web Informačního centra DNSSEC, který vám pomůže udržet krok s nejnovějším stavem DNSSEC.