几十年来,安全从业者建议人们将DNS查询限制在DNS服务器上仅使用UDP端口53.如果不接受UDP端口53,则DNS查询也可以使用TCP端口53。现在随着DNSSEC的即将部署和最终添加IPv6,我们将需要允许我们的防火墙转发TCP和UDP端口53数据包。
攻击者可以使用DNS作为其侦察技术之一。包含目标的服务器的公共信息对攻击者有价值,并帮助他们关注他们的攻击。攻击者可以使用各种技术来通过查询检索DNS信息。但是,黑客经常尝试从权威DNS服务器执行区域传输,以获得更多信息。您可以使用DIG命令从服务器获取特定区域文件的信息。
DIG @ 192.168.11.24 example.org -t axfr
区域转移发生TCP端口53.为了防止我们的DNS服务器泄露关键信息给攻击者,TCP端口53通常被封锁。如果该组织保护权威DNS服务器的防火墙允许TCP端口53包,并且DNS服务器被配置为允许区域传输到任何人,那么这个dig命令将是成功的。但是,大多数组织都配置了DNS服务器,以防止来自非指定DNS服务器的区域传输。可以使用如下所示的allow-transfer命令中的任何一种形式在BIND区域文件中进行配置。
允许 - 转移{“无”;};允许传输{address_match_list};允许转移{192.168.11.11;};
此外,大多数组织还使用防火墙来阻止TCP端口53以及从DNS服务器和Internet中划分TCP端口53。如果DNS服务器意外允许转移,这是双重保护。
将DNS服务器配置为仅允许区域传输到仅限合法的DNS服务器始终并始终是最佳实践。但是,拒绝TCP端口53到DNS服务器的实践开始引起一些问题。我们希望允许TCP和UDP端口53与我们的DNS服务器连接有两种好理由。一个是DNSSEC,第二个是IPv6。
DNSSEC创建更大的DNS响应
我喜欢阅读IP杂志自1998年第一期以来已阅读它。
在最近的IP日报中,我有一篇我的朋友,斯蒂芬莱霍尔霍尔的一篇文章Secure64和德州IPv6专责小组,标题为“实施DNSSEC时的运营挑战“这篇文章涉及组织在部署DNSSEC时遇到的许多警告。
提到的一个关键问题是DNSSEC可能导致DNS回复大于512字节。DNSSEC(在RFC 4033,RFC 4034和RFC 4035中定义)需要能够发送较大的DNS消息,因为查询响应中包含的额外关键信息。可以在DNS响应大于512字节的情况下使用TCP端口53。但是,使用UDP消息优先使用TCP进行大型DNS消息,这是由于TCP连接可以为每个连接消耗计算资源。DNS服务器每秒获得许多连接,并使用TCP可以添加太多开销。要解决这个问题,IETFRFC 2671.“DNS扩展机制(EDNS0)”定义了一种方法来扩展UDP缓冲区的大小到4096字节,以允许DNSSEC和更大的查询响应。要在BIND 9配置上启用EDNS0,可以使用以下BIND operations语句
EDNS-UDP大小4096;
由于达到的DNSSEC意识增加了漏洞在2年前被披露最近有关该消息的新闻美国政府努力实施它。许多组织一直在计划他们的DNSSEC部署。DNSSEC正在成为越来越广泛的部署,现在正在签署键顶级域(TLD)。TLD..org现已签署。互联网根区在弗吉尼亚州的仪式上签署了2个月前。VeriSign表示他们希望支持DNSSEC的愿望.com和.net.到2011年。康卡斯特创建了一个DNSSEC信息中心网站可以帮助您在最新的DNSSEC状态上保持最新状态。