Turvallisuus harjoittajia vuosikymmeniä ovat neuvoneet ihmisiä rajoittaa DNS-kyselyitä niiden DNS-palvelimet käyttää vain UDP-portti 53. Todellisuudessa DNS-kyselyt voivat käyttää myös TCP-porttia 53, jos UDP-porttia 53 ei hyväksytä. Nyt lähestyvästä käyttöön DNSSEC ja lopulta lisäämällä IPv6-meidän täytyy antaa meidän palomuurit eteenpäin sekä TCP-ja UDP-portti 53 paketteja.

hyökkääjät voivat käyttää DNS: ää yhtenä tiedustelutekniikoistaan., Kohteen palvelimien sisältämä julkinen tieto on hyökkääjälle arvokasta ja auttaa heitä keskittymään hyökkäyksiinsä. Hyökkääjät voivat käyttää erilaisia tekniikoita hakea DNS-tietoja kyselyjen kautta. Kuitenkin, hakkerit yrittävät usein suorittaa zone transfer teidän arvovaltainen DNS-palvelimet saada vielä enemmän tietoja. Voit käyttää dig-komentoa tietojen keräämiseen palvelimelta tiettyä vyöhyketiedostoa varten.,

dig @192.168.11.24 example.org -t AXFR

– Vyöhyke siirrot tapahtua yli TCP-porttiin 53 ja estämiseksi meidän DNS-palvelimet paljastamatta tärkeitä tietoja hyökkääjät, TCP-portti 53 on yleensä estetty. Jos organisaation palomuuri suojelee arvovaltainen DNS-palvelimen sallitaan TCP-portti 53 paketit ja DNS-palvelin oli konfiguroitu sallimaan alue-siirrot kenellekään, niin tämä kaivaa komento olisi onnistunut. Suurin osa organisaatioista on kuitenkin määrittänyt DNS-palvelimensa estämään vyöhykkeiden siirtoja tahattomilta DNS-palvelimilta., Tämä voidaan määrittää BIND zone-tiedostossa käyttämällä mitä tahansa näistä allow-transfer-komennon muodoista alla esitetyllä tavalla.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

Lisäksi, useimmat organisaatiot ovat myös käytetään palomuuri estää TCP-portin 53 ja niiden DNS-palvelimet ja Internet. Tämä on kaksinkertainen suojaus siltä varalta, että DNS-palvelin vahingossa salli siirrot.

Konfigurointi DNS-palvelimet lupa-alueen siirrot ainoa laillinen DNS-palvelimet on aina ollut ja on edelleen paras käytäntö., Käytäntö kieltää TCP-portti 53 ja DNS-palvelimet alkaa kuitenkin aiheuttaa joitakin ongelmia. On kaksi hyvää syytä, että haluaisimme sallia sekä TCP-että UDP-portti 53-yhteydet DNS-palvelimillemme. Toinen on DNSSEC ja toinen IPv6.

DNSSEC Luo Suurempi DNS-Vastauksia

rakastan lukemista IP-Lehti ja lukea se, koska ensimmäinen kysymys vuonna 1998.

viime painos IP-Lehdessä oli artikkeli, jonka ystäväni, Stephan Lagerholm, ja Secure64 ja Texas IPv6 Task Force, nimeltään ”Operatiivisia Haasteita, Kun Täytäntöönpanosta DNSSEC”., Tämä artikkeli käsitteli monia luolia, joihin järjestöt törmäävät siirtyessään ottamaan käyttöön DNSSECIN.

yksi mainituista keskeisistä kysymyksistä on se, että DNSSEC voi aiheuttaa DNS-vastausten olevan suurempia kuin 512 tavua. DNSSEC (Määritelty RFC 4033, RFC 4034, ja RFC 4035) edellyttää kykyä toimittaa suurempia DNS-viestejä, koska vara-avaimen sisältämät tiedot kyselyn vastauksia. TCP-porttia 53 voidaan käyttää tapauksissa, joissa DNS-vasteet ovat yli 512 tavua., UDP-viestien käyttäminen on kuitenkin parempi vaihtoehto kuin TCP: n käyttäminen suurissa DNS-viesteissä johtuu siitä, että TCP-yhteydet voivat kuluttaa laskentaresursseja kunkin yhteyden osalta. DNS-palvelimet saavat lukuisia yhteyksiä sekunnissa ja käyttämällä TCP voi lisätä liikaa yläpuolella. Käsitellä tätä kysymystä, IETF: n RFC-2671 ”Laajennus Mekanismeja DNS (EDNS0)” määrittelee menetelmän laajentaa UDP puskurin koko 4096 tavua, jotta DNSSEC ja suurempi kyselyn vastauksia., Jotta EDNS0 teidän BIND 9-kokoonpano voit käyttää seuraavia SITOA toimintaa lausunto

edns-udp-size 4096 ;

Tietoisuus DNSSEC on lisääntynyt haavoittuvuuksia paljastaa, 2 vuotta sitten ja viimeisimmät uutiset siitä, että Usa: N hallitus pyrkii toteuttamaan sitä. Monet järjestöt ovat suunnitelleet DNSSEC-käyttöönottojaan. DNSSEC on yleistymässä nyt, kun tärkeimmät huipputason verkkotunnukset (TLDs) on allekirjoitettu. TLD. org on nyt allekirjoitettu. Internetin juurivyöhyke allekirjoitettiin vain 2 kuukautta sitten seremoniassa Virginiassa., VeriSign on ilmoittanut haluavansa tukea DNSSEC for. comia ja. netiä vuoteen 2011 mennessä. Comcast on luonut DNSSEC Information Center-sivuston, jonka avulla voit pysyä ajan tasalla viimeisimmästä DNSSEC-tilasta.