Sikkerhedspraktikere i årtier har Rådet folk til at begrænse DNS-forespørgsler mod deres DNS-servere til kun at bruge UDP-port 53. Virkeligheden er, at DNS-forespørgsler også kan bruge TCP-port 53, hvis UDP-port 53 ikke accepteres. Nu med den forestående implementering af DNSSEC og den eventuelle tilføjelse af IPv6 bliver vi nødt til at tillade vores fire .alls til videresendelse af både TCP-og UDP-port 53-pakker.

DNS kan bruges af angribere som en af deres rekognosceringsteknikker., Offentlig information indeholdt et mål servere er værdifuld for en hacker og hjælper dem med at fokusere deres angreb. Angribere kan bruge en række forskellige teknikker til at hente DNS-information gennem forespørgsler. Hackere forsøger dog ofte at udføre en transferoneoverførsel fra dine autoritative DNS-servere for at få adgang til endnu mere information. Du kan bruge dig-kommandoen til at indsamle oplysninger fra en server til en bestemt zoneonefil.,

dig @192.168.11.24 example.org -t AXFR

Zone overførsler finder sted over TCP port 53 og for at forhindre, at vores DNS-servere fra røbe kritisk information til angriberne, TCP port 53 typisk er blokeret. Hvis organisationens fire .all, der beskytter den autoritative DNS-server, tillod TCP-port 53-pakkerne, og DNS-serveren blev konfigureret til at tillade transfersoneoverførsler til nogen, ville denne grave-kommando være vellykket. De fleste organisationer har dog konfigureret deres DNS-servere til at forhindre transfersoneoverførsler fra utilsigtede DNS-servere., Dette kan konfigureres i BIND zoneone-filen ved hjælp af en af disse former for kommandoen allo. – transfer som vist nedenfor.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

Desuden har de fleste organisationer har også brugt firewalls til at blokere TCP port 53 til og fra deres DNS-servere og Internet. Dette er dobbeltbeskyttelse, hvis DNS-serveren ved et uheld tillader overførsler.

konfiguration af dine DNS-servere til at tillade transfersoneoverførsler til kun legitime DNS-servere har altid været og er fortsat en god praksis., Imidlertid begynder praksis med at nægte TCP port 53 Til og fra DNS-servere at forårsage nogle problemer. Der er to gode grunde til, at vi ønsker at tillade både TCP og UDP port 53 forbindelser til vores DNS-servere. Den ene er DNSSEC og den anden er IPv6.

DNSSEC opretter større DNS-svar

Jeg elsker at læse IP-tidsskriftet og har læst det siden den første udgave i 1998.

I den seneste udgave af IP-Tidende var der en artikel af en af mine venner, Stephan Lagerholm, af Secure64 og Texas IPv6 Task Force, med titlen “Operationelle Udfordringer ved at Implementere DNSSEC”., Denne artikel dækkede mange af de advarsler, som organisationer støder på, når de flytter til at implementere DNSSEC.

et af de vigtigste spørgsmål, der er nævnt, er, at DNSSEC kan forårsage, at DNS-svar er større end 512 bytes. DNSSEC (defineret i RFC 4033, RFC 4034 og RFC 4035) kræver muligheden for at overføre større DNS-meddelelser på grund af de ekstra nøgleoplysninger, der er indeholdt i forespørgselssvarene. TCP port 53 kan anvendes i de tilfælde, hvor DNS-svar større end 512 bytes., Brug af UDP-meddelelser foretrækkes dog frem for at bruge TCP til store DNS-meddelelser skyldes det faktum, at TCP-forbindelser kan forbruge computerressourcer for hver forbindelse. DNS-servere får adskillige forbindelser i sekundet, og ved hjælp af TCP kan der tilføjes for meget overhead. For at løse dette problem definerer IETF RFC 2671 “Udvidelsesmekanismer til DNS (EDNS0)” en metode til at udvide UDP-bufferstørrelsen til 4096 bytes for at give mulighed for DNSSEC og større forespørgselssvar., For at aktivere EDNS0 på din BIND-9 konfiguration du kan bruge de følgende BIND operationer erklæring

edns-udp-size 4096 ;

Bevidstheden af DNSSEC er steget på grund af de sårbarheder offentliggjort 2 år siden, og med de seneste nyheder om den U. S regering stræber efter at gennemføre den. Mange organisationer har planlagt deres DNSSEC-implementeringer. DNSSEC bliver mere udbredt nu, at key Top Level domæner (TLD ‘ er) bliver underskrevet. TLD. org er nu underskrevet. Internets rod zoneone blev underskrevet bare 2 måneder siden i en ceremoni i Virginia., VeriSign har erklæret deres ønske om at støtte DNSSEC for .com og. net inden 2011. Comcast har oprettet et DNSSEC Information Center-siteebsted, der kan hjælpe dig med at holde dig opdateret om den nyeste DNSSEC-status.