säkerhetsutövare i årtionden har rekommenderat människor att begränsa DNS-frågor mot sina DNS-servrar att endast använda UDP-port 53. Verkligheten är att DNS-frågor också kan använda TCP-port 53 om UDP-port 53 inte accepteras. Nu med den förestående utplaceringen av DNSSEC och det eventuella tillägget av IPv6 måste vi tillåta våra brandväggar för framåt både TCP och UDP-port 53-paket.

DNS kan användas av angripare som en av deras rekognoseringstekniker., Offentlig information innehöll ett mål servrar är värdefull för en angripare och hjälper dem att fokusera sina attacker. Angripare kan använda en mängd olika tekniker för att hämta DNS-information genom frågor. Hackare försöker dock ofta att utföra en zonöverföring från dina auktoritativa DNS-servrar för att få tillgång till ännu mer information. Du kan använda dig-kommandot för att samla information från en server för en specifik zonfil.,

dig @192.168.11.24 example.org -t AXFR

zonöverföringar sker över TCP-port 53 och för att förhindra att våra DNS-servrar avslöjar kritisk information till angripare blockeras TCP-port 53 vanligtvis. Om organisationens brandvägg som skyddar den auktoritativa DNS-servern tillät TCP-porten 53-paket och DNS-servern konfigurerades för att tillåta zonöverföringar till någon, skulle det här dig-kommandot lyckas. De flesta organisationer har dock konfigurerat sina DNS-servrar för att förhindra zonöverföringar från oavsiktliga DNS-servrar., Detta kan konfigureras i BIND zone-filen med någon av dessa former av kommandot Tillåt-överföring som visas nedan.

allow-transfer {"none";}; allow-transfer { address_match_list }; allow-transfer {192.168.11.11;};

dessutom har de flesta organisationer också använt brandväggar för att blockera TCP-port 53 till och från deras DNS-servrar och Internet. Detta är dubbelskydd om DNS-servern av misstag tillåts överföringar.

konfigurera DNS-servrar för att tillåta zonöverföringar till endast legitima DNS-servrar har alltid varit och fortsätter att vara en bästa praxis., Bruket att neka TCP-port 53 till och från DNS-servrar börjar dock orsaka vissa problem. Det finns två goda skäl att vi skulle vilja tillåta både TCP och UDP-port 53 anslutningar till våra DNS-servrar. En är DNSSEC och den andra är IPv6.

DNSSEC skapar större DNS-svar

Jag älskar att läsa IP-tidskriften och har läst den sedan det första numret 1998.

i den senaste utgåvan av IP Journal fanns en artikel av en vän till mig, Stephan Lagerholm, Secure64 och Texas IPv6 Task Force, med titeln ”Operational Challenges When Implementing DNSSEC”., Denna artikel omfattade många av de varningar som organisationer stöter på när de flyttar för att distribuera DNSSEC.

ett av de viktigaste frågorna som nämns är att DNSSEC kan få DNS-svar att vara större än 512 byte. DNSSEC (definierad i RFC 4033, RFC 4034 och RFC 4035) kräver möjlighet att överföra större DNS-meddelanden på grund av den extra nyckelinformation som finns i frågesvar. TCP-port 53 kan användas i de fall där DNS-svar större än 512 byte., Att använda UDP-meddelanden är dock att föredra att använda TCP för stora DNS-meddelanden beror på att TCP-anslutningar kan konsumera datorresurser för varje anslutning. DNS-servrar får många anslutningar per sekund och med hjälp av TCP kan lägga för mycket overhead. För att ta itu med detta problem definierar IETF RFC 2671 ”Extension Mechanisms for DNS (EDNS0)” en metod för att utöka UDP-buffertstorleken till 4096 byte för att möjliggöra DNSSEC och större frågesvar., För att aktivera EDNS0 på din BIND 9-konfiguration som du kan använda följande BINDA verksamhet uttalande

edns-udp-size 4096 ;

Medvetenheten om DNSSEC har ökat på grund av att de sårbarheter som lämnas ut för 2 år sedan och med den senaste tidens nyheter om U. S-regeringen strävar efter att genomföra det. Många organisationer har planerat sina DNSSEC-utplaceringar. DNSSEC blir alltmer utplacerade nu när viktiga toppdomäner (TLDs) undertecknas. TLD .org har nu undertecknats. Internet rotzonen undertecknades bara 2 månader sedan i en ceremoni i Virginia., VeriSign har uppgett sin önskan att stödja DNSSEC för. com och. Net av 2011. Comcast har skapat en DNSSEC Information Center webbplats som kan hjälpa dig att hålla dig uppdaterad om den senaste DNSSEC status.