Beveiligingsfunctionarissen hebben al tientallen jaren mensen geadviseerd om DNS-query ‘ s tegen hun DNS-servers te beperken tot het gebruik van UDP-poort 53. De realiteit is dat DNS-queries ook TCP-poort 53 kunnen gebruiken als UDP-poort 53 niet wordt geaccepteerd. Nu met de naderende implementatie van DNSSEC en de uiteindelijke toevoeging van IPv6 zullen we onze firewalls moeten toestaan voor zowel TCP-als UDP-poort 53-pakketten.

DNS kan worden gebruikt door aanvallers als een van hun verkenningstechnieken., Publieke informatie bevat servers van een doel is waardevol voor een aanvaller en helpt hen hun aanvallen te concentreren. Aanvallers kunnen een verscheidenheid aan technieken gebruiken om DNS-informatie op te halen door middel van queries. Echter, hackers vaak proberen om een zone overdracht uit te voeren van uw gezaghebbende DNS-servers om toegang te krijgen tot nog meer informatie. U kunt het dig commando gebruiken om informatie te verzamelen van een server voor een specifiek zonebestand.,

dig @192.168.11.24 example.org -t AXFR

zoneoverdrachten vinden plaats via TCP-poort 53 en om te voorkomen dat onze DNS-servers kritieke informatie aan aanvallers onthullen, wordt TCP-poort 53 meestal geblokkeerd. Als de firewall van de organisatie die de gezaghebbende DNS-server beschermt, de tcp-poort 53-pakketten toestaat en de DNS-server is geconfigureerd om zoneoverdrachten naar iedereen toe te staan, dan is deze dig-opdracht succesvol. De meeste organisaties hebben hun DNS-servers echter geconfigureerd om zoneoverdrachten van onbedoelde DNS-servers te voorkomen., Dit kan worden geconfigureerd in het BIND-zonebestand met behulp van een van deze vormen van het commando allow-transfer, zoals hieronder wordt getoond.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

bovendien hebben de meeste organisaties ook firewalls gebruikt om tcp-poort 53 van en naar hun DNS-servers en het Internet te blokkeren. Dit is dubbele beveiliging voor het geval de DNS-server per ongeluk overdrachten toestaat.

het configureren van uw DNS-servers om zoneoverdrachten toe te staan naar alleen legitieme DNS-servers is altijd een goede gewoonte geweest en blijft., De praktijk van het weigeren van tcp-poort 53 van en naar DNS-servers begint echter problemen te veroorzaken. Er zijn twee goede redenen dat we zowel TCP-als UDP-poort 53-verbindingen met onze DNS-servers zouden willen toestaan. De eerste is DNSSEC en de tweede is IPv6.

DNSSEC creëert grotere DNS-reacties

Ik hou van het lezen van het IP Journal en heb het gelezen sinds het eerste nummer in 1998.

in de recente editie van het IP Journal stond een artikel van een vriend van mij, Stephan Lagerholm, van Secure64 en de Texas IPv6 Task Force, getiteld “Operational Challenges When Implementing DNSSEC”., Dit artikel behandelde veel van de kanttekeningen die organisaties tegenkomen als ze verhuizen naar de implementatie van DNSSEC.

een van de belangrijkste problemen is dat DNSSEC DNS-antwoorden groter kan maken dan 512 bytes. DNSSEC (gedefinieerd in RFC 4033, RFC 4034 en RFC 4035) vereist de mogelijkheid om grotere DNS-berichten te verzenden vanwege de extra belangrijke informatie in de query-antwoorden. TCP-poort 53 kan worden gebruikt in gevallen waarin de DNS-antwoorden groter zijn dan 512 bytes., Het gebruik van UDP-berichten verdient echter de voorkeur boven het gebruik van TCP voor grote DNS-berichten, omdat TCP-verbindingen voor elke verbinding computerbronnen kunnen gebruiken. DNS-servers krijgen talloze verbindingen per seconde en het gebruik van TCP kan te veel overhead toevoegen. Om dit probleem aan te pakken, definieert de IETF RFC 2671 “Extension Mechanisms for DNS (EDNS0)” een methode om de UDP-buffergrootte uit te breiden tot 4096 bytes om DNSSEC en grotere query-antwoorden mogelijk te maken., Om EDNS0 in te schakelen op uw BIND 9 configuratie kunt u het volgende BIND operations statement

edns-udp-size 4096 ;

bewustzijn van DNSSEC is toegenomen als gevolg van de kwetsbaarheden onthuld 2 jaar geleden en met recent nieuws over de Amerikaanse overheid streven om het te implementeren. Veel organisaties hebben hun DNSSEC-implementaties gepland. DNSSEC wordt steeds breder ingezet nu key Top Level Domains (TLD ‘ s) worden ondertekend. Het TLD. org is nu ondertekend. De root zone van het Internet is twee maanden geleden ondertekend tijdens een ceremonie in Virginia., VeriSign heeft verklaard dat zij DNSSEC willen ondersteunen voor. com en. net in 2011. Comcast heeft een DNSSEC Information Center-site gemaakt die u kan helpen om op de hoogte te blijven van de nieuwste DNSSEC-status.