Sikkerhet utøvere i flere tiår har rådet folk til å begrense DNS-spørringer mot sine DNS-servere til å bare bruke UDP-port 53. Realiteten er at DNS-spørringer kan også bruke TCP port 53 hvis UDP-port 53 er ikke tillatt. Nå med den forestående utrullingen av DNSSEC og eventuelt tillegg av IPv6-vi må la våre brannmurer for videre fremover både TCP-og UDP-port 53 pakker.

DNS-kan brukes av angripere som en av sine rekognosering teknikker., Offentlig informasjon inneholdt et mål servere er verdifullt for en angriper og hjelper dem med å fokusere sine angrep. Angripere kan bruke en rekke teknikker for å hente DNS-informasjon gjennom spørsmål. Imidlertid, hackere prøver ofte å utføre en sone overføre fra den autoritative DNS-servere for å få tilgang til enda mer informasjon. Du kan bruke grave-kommandoen til å samle informasjon fra en server for en bestemt sone-fil.,

dig @192.168.11.24 example.org -t AXFR

Sone overføringer foregå over TCP-port 53 og for å hindre at våre DNS-servere fra å oppgi kritisk informasjon for å angripere, TCP-port 53 vanligvis er blokkert. Hvis organisasjonens brannmur som beskytter den autoritative DNS-server tillatt TCP port 53 pakker og DNS-serveren er konfigurert til å tillate sone overføringer til noen, så er dette grave kommando ville bli vellykket. Men de fleste organisasjoner har konfigurert DNS-servere for å hindre sone overføringer fra utilsiktede DNS-servere., Dette kan være konfigurert i BIND sone-fil ved hjelp av en av disse skjemaer av lar-overføre kommandoen som vist nedenfor.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

Dessuten, de fleste organisasjoner har også brukt brannmurer til å blokkere TCP-port 53 til og fra sine DNS servere og Internett. Dette er dobbelt-beskyttelse i tilfelle DNS-server ved et uhell tillatt overføringer.

Konfigurere DNS-servere for å tillate sone overføringer til bare legitime DNS-servere har alltid vært og fortsetter å være en av beste praksis., Men praksis for å nekte TCP-port 53 til og fra DNS servere er i ferd med å føre til noen problemer. Det er to gode grunner til at vi ønsker å tillate både TCP-og UDP-port 53 forbindelser til våre DNS-servere. Man er DNSSEC, og den andre er IPv6.

DNSSEC Skaper Større DNS Svar

jeg elsker å lese IP-Journal og har lest den siden første utgave i 1998.

I den siste utgaven av IP-Bilaget var det en artikkel av en venn av meg, Stephan Lagerholm, av Secure64 og Texas IPv6 Task Force, med tittelen «Operasjonelle Utfordringer Ved Implementering av DNSSEC»., Denne artikkelen dekket mange av de begrensningene som organisasjoner kjøre inn så flytter de til å distribuere DNSSEC.

En av de viktigste sakene som er nevnt er at DNSSEC kan føre til DNS-svarene til å være større enn 512 byte. DNSSEC (Definert i RFC 4033, RFC 4034, og RFC 4035) krever evne til å overføre større DNS-meldinger på grunn av det ekstra viktig informasjon som finnes i søket svar. TCP-port 53 kan brukes i de tilfeller hvor DNS-responsen er større enn 512 byte., Imidlertid, hjelp av UDP-meldinger er å foretrekke å bruke TCP for store DNS-meldinger er på grunn av det faktum at TCP-tilkoblinger kan bruke dataverktøy for hver tilkobling. DNS-servere få flere tilkoblinger per sekund, og ved hjelp av TCP kan legge til for mye overhead. For å løse dette problemet, IETF RFC 2671 «Extension Mekanismer for DNS (EDNS0)» definerer en metode for å forlenge UDP-bufferen til 4096 byte for å tillate for DNSSEC og større spørring svar., For å aktivere EDNS0 på din BIND 9 konfigurering du kan bruke følgende BINDE operasjoner uttalelse

edns-udp-size 4096 ;

Bevissthet av DNSSEC har økt på grunn av sikkerhetsproblemene offentliggjort 2 år siden, og med de siste nyheter om U. S staten streve for å gjennomføre det. Mange organisasjoner har vært de planlegger sine DNSSEC-distribusjoner. DNSSEC blir stadig mer utbredte nå at nøkkelen toppdomener (Toppdomener) blir undertegnet. TOPPNIVÅDOMENET .org har nå blitt logget. Internett er roten ble undertegnet bare 2 måneder siden i en seremoni i Virginia., VeriSign har erklært sitt ønske om å støtte DNSSEC for .com og .net av 2011. Comcast har opprettet en DNSSEC Information Center nettstedet som kan hjelpe deg å holde deg oppdatert på de nyeste DNSSEC status.