Engedélyezze mind a TCP, mind az UDP 53 portot a DNS-kiszolgálókhoz

A biztonsági szakemberek évtizedek óta azt tanácsolták az embereknek, hogy korlátozzák a DNS-lekérdezéseket a DNS-kiszolgálókkal szemben, hogy csak az UDP 53 portot használják. A valóság az, hogy a DNS-lekérdezések az 53-as TCP portot is használhatják, ha az UDP 53-as portot nem fogadják el. Most a DNSSEC közelgő telepítésével, valamint az IPv6 esetleges hozzáadásával engedélyeznünk kell tűzfalainkat mind a TCP, mind az UDP port 53 csomagok továbbításához.

DNS lehet használni a támadók, mint az egyik felderítő technikák., A célpont szervereit tartalmazó nyilvános információk értékesek a támadó számára, és segítenek nekik a támadások összpontosításában. A támadók különböző technikákat használhatnak a DNS-információk lekérdezéseken keresztüli lekérésére. A hackerek azonban gyakran megpróbálnak zónaátvitelt végrehajtani a hiteles DNS-kiszolgálókról, hogy még több információhoz férjenek hozzá. A dig parancs segítségével információkat gyűjthet egy kiszolgálóról egy adott zónafájlhoz.,

dig @192.168.11.24 example.org -t AXFR

a Zónaátvitel az 53-as TCP porton keresztül történik, és annak megakadályozása érdekében, hogy DNS-kiszolgálóink kritikus információkat közöljenek a támadókkal, az 53-as TCP port általában blokkolva van. Ha a szervezet tűzfala, amely a hiteles DNS-kiszolgálót védi, lehetővé tette a TCP port 53 csomagjait, a DNS-kiszolgálót pedig úgy konfigurálták, hogy zónaátviteleket engedélyezzen bárkinek, akkor ez a dig parancs sikeres lenne. A legtöbb szervezet azonban úgy konfigurálta DNS-kiszolgálóit, hogy megakadályozzák a zónák átvitelét a nem kívánt DNS-kiszolgálókról., Ez konfigurálható a BIND zone fájlban az átvitel engedélyezése parancs ezen formáinak bármelyikével, az alábbiak szerint.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

továbbá a legtöbb szervezet tűzfalakat is használt az 53-as TCP port blokkolására a DNS-kiszolgálókra és az internetre. Ez kettős védelem abban az esetben, ha a DNS-kiszolgáló véletlenül engedélyezte az átutalásokat.

A DNS-kiszolgálók konfigurálása a zónaátvitel engedélyezéséhez csak legitim DNS-kiszolgálókra mindig is bevált gyakorlat volt., Azonban az a gyakorlat, hogy megtagadják a TCP portot 53 A DNS-kiszolgálók között, problémákat okoz. Két jó oka van annak, hogy mind a TCP, mind az UDP port 53 kapcsolatokat szeretnénk engedélyezni DNS-kiszolgálóinkhoz. Az egyik a DNSSEC, a második az IPv6.

a DNSSEC nagyobb DNS-válaszokat hoz létre

szeretem elolvasni az IP-naplót, és elolvastam az 1998 – as első kiadás óta.

Az IP folyóirat legutóbbi kiadásában egy barátom, Stephan Lagerholm, a Secure64 és a Texas IPv6 Munkacsoport “operatív kihívások a DNSSEC végrehajtásakor”című cikke jelent meg., Ez a cikk számos olyan figyelmeztetést tartalmazott, amelyekbe a szervezetek belefutnak, amikor a DNSSEC telepítésére költöznek.

az egyik legfontosabb kérdés az, hogy a DNSSEC a DNS-válaszok nagyobb lehet, mint 512 bájt. DNSSEC (meghatározott RFC 4033, RFC 4034, RFC 4035) megköveteli a képességét, hogy továbbítsa a nagyobb DNS-üzeneteket, mert az extra kulcsfontosságú információkat tartalmazott a lekérdezés válaszok. TCP port 53 lehet használni abban az esetben, ha a DNS válaszok nagyobb, mint 512 bájt., Az UDP üzenetek használata azonban előnyösebb, mint a TCP használata nagy DNS-üzenetek esetén, mivel a TCP-kapcsolatok számítási erőforrásokat fogyaszthatnak minden kapcsolathoz. A DNS-kiszolgálók másodpercenként számos kapcsolatot kapnak, a TCP használata pedig túl sok költséget jelenthet. A probléma megoldásához az IETF RFC 2671 “Extension Mechanisms for DNS (EDNS0)” meghatároz egy módszert az UDP puffer méretének 4096 bájtra történő kiterjesztésére, hogy lehetővé tegye a DNSSEC és a nagyobb lekérdezési válaszok megadását., Az EDNS0-nek a BIND 9 konfigurációban történő engedélyezéséhez használhatja a következő BIND operations statement

edns-udp-size 4096 ;

a DNSSEC tudatossága nőtt a 2 évvel ezelőtt közzétett sebezhetőségek miatt, valamint az Egyesült Államok kormányával kapcsolatos legfrissebb hírek miatt. Sok szervezet már tervezi a DNSSEC telepítések. DNSSEC egyre szélesebb körben alkalmazzák most, hogy a legfontosabb felső szintű tartományok (TLD) vannak aláírva. A TLD .org-t most aláírták. Az Internet gyökérzónáját csak 2 hónappal ezelőtt írták alá egy ünnepségen Virginiában., A VeriSign kijelentette, hogy 2011-ig támogatni kívánja a DNSSEC-et a .com és a.NET számára. A Comcast létrehozott egy DNSSEC Információs Központ webhelyet, amely segít naprakészen tartani a legújabb DNSSEC állapotot.

a cikk olvasásának folytatásához regisztráljon most

További információ meglévő felhasználók jelentkezzen be

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük