Sicherheitspraktiker raten seit Jahrzehnten, DNS-Abfragen auf ihre DNS-Server zu beschränken, um nur UDP-Port 53 zu verwenden. Die Realität ist, dass DNS-Abfragen auch TCP-Port 53 verwenden können, wenn UDP-Port 53 nicht akzeptiert wird. Mit der bevorstehenden Bereitstellung von DNSSEC und dem späteren Hinzufügen von IPv6 müssen wir nun unsere Firewalls für die Weiterleitung von TCP-und UDP-Port 53-Paketen zulassen.

DNS kann von Angreifern als eine ihrer Aufklärungstechniken verwendet werden., Öffentliche Informationen auf den Servern eines Ziels sind für einen Angreifer wertvoll und helfen ihnen, ihre Angriffe zu konzentrieren. Angreifer können eine Vielzahl von Techniken verwenden, um DNS-Informationen über Abfragen abzurufen. Hacker versuchen jedoch häufig, eine Zonenübertragung von Ihren autorisierenden DNS-Servern durchzuführen, um Zugriff auf noch mehr Informationen zu erhalten. Sie können den Befehl dig verwenden, um Informationen von einem Server für eine bestimmte Zonendatei zu sammeln.,

dig @192.168.11.24 example.org -t AXFR

Zonenübertragungen finden über TCP-Port 53 statt und um zu verhindern, dass unsere DNS-Server kritische Informationen an Angreifer weitergeben, wird TCP-Port 53 normalerweise blockiert. Wenn die Firewall der Organisation, die den autorisierenden DNS-Server schützt, die TCP-Port-53-Pakete zulässt und der DNS-Server so konfiguriert wurde, dass Zonenübertragungen an dritte zulässig sind, ist dieser dig-Befehl erfolgreich. Die meisten Organisationen haben ihre DNS-Server jedoch so konfiguriert, dass Zonenübertragungen von unbeabsichtigten DNS-Servern verhindert werden., Dies kann in der Bindungszonendatei mit einem dieser Formulare des Befehls allow-transfer konfiguriert werden, wie unten gezeigt.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

Darüber hinaus haben die meisten Organisationen auch Firewalls verwendet, um TCP-Port 53 zu und von ihren DNS-Servern und dem Internet zu blockieren. Dies ist ein doppelter Schutz, falls der DNS-Server versehentlich Übertragungen zugelassen hat.

Konfigurieren Sie Ihre DNS-Server Zone Übertragungen auf nur legitime DNS-Server zu ermöglichen, war und ist eine bewährte Methode., Die Praxis, TCP-Port 53 zu und von DNS-Servern abzulehnen, verursacht jedoch einige Probleme. Es gibt zwei gute Gründe, warum wir sowohl TCP-als auch UDP-Port 53-Verbindungen zu unseren DNS-Servern zulassen möchten. Einer ist DNSSEC und der zweite ist IPv6.

DNSSEC erstellt größere DNS-Antworten

Ich liebe es, das IP Journal zu lesen und habe es seit der ersten Ausgabe im Jahr 1998 gelesen.

In der jüngsten Ausgabe des IP Journal gab es einen Artikel von einem Freund von mir, Stephan Lagerholm, von Secure64 und der Texas IPv6 Task Force mit dem Titel „Operative Herausforderungen bei der Implementierung von DNSSEC“., Dieser Artikel behandelte viele der Einschränkungen, auf die Organisationen stoßen, wenn sie DNSSEC bereitstellen.

Eines der Hauptprobleme ist, dass DNSSEC dazu führen kann, dass DNS-Antworten größer als 512 Byte sind. DNSSEC (Definiert in RFC 4033, RFC 4034 und RFC 4035) erfordert aufgrund der zusätzlichen Schlüsselinformationen in den Abfrageantworten die Möglichkeit, größere DNS-Nachrichten zu übertragen. TCP-Port 53 kann in den Fällen verwendet werden, in denen die DNS-Antworten größer als 512 Byte., Die Verwendung von UDP-Nachrichten ist jedoch der Verwendung von TCP für große DNS-Nachrichten vorzuziehen, da TCP-Verbindungen für jede Verbindung Rechenressourcen verbrauchen können. DNS-Server erhalten zahlreiche Verbindungen pro Sekunde und die Verwendung von TCP kann zu viel Overhead verursachen. Um dieses Problem zu beheben, definiert der IETF RFC 2671 „Erweiterungsmechanismen für DNS (EDNS0)“ eine Methode zum Erweitern der UDP-Puffergröße auf 4096 Byte, um DNSSEC und größere Abfrageantworten zu ermöglichen., Um EDNS0 in Ihrer BIND 9-Konfiguration zu aktivieren, können Sie die folgende BIND operations-Anweisung verwenden

Das Bewusstsein für DNSSEC hat aufgrund der vor 2 Jahren offenbarten Sicherheitslücken und der jüngsten Nachrichten über die US-Regierung, die danach strebt, es zu implementieren, zugenommen. Viele Organisationen haben ihre DNSSEC-Bereitstellungen geplant. DNSSEC wird jetzt, da wichtige Top Level Domains (TLDs) signiert werden, immer häufiger eingesetzt. Die TLD. org wurde nun unterzeichnet. Die Root Zone des Internets wurde erst vor 2 Monaten in einer Zeremonie in Virginia unterzeichnet., VeriSign hat ihren Wunsch erklärt, DNSSEC für .com und. net bis 2011 zu unterstützen. Comcast hat eine Website für DNSSEC Information Center erstellt, mit der Sie über den neuesten DNSSEC-Status auf dem Laufenden bleiben können.