几十年来,安全从业者一直建议人们限制对DNS服务器的DNS查询只能使用UDP端口53。事实上,如果UDP端口53不被接受,DNS查询也可以使用TCP端口53。现在,随着即将部署的DNSSEC和最终增加的IPv6,我们将需要允许我们的防火墙转发TCP和UDP端口53数据包。
DNS可以被攻击者用作他们的侦察技术之一。包含目标服务器的公共信息对攻击者很有价值,可以帮助他们集中攻击。攻击者可以使用各种技术通过查询检索DNS信息。然而,黑客常常试图从您的权威DNS服务器执行区域传输,以获得访问更多信息的权限。您可以使用dig命令从服务器收集特定区域文件的信息。
挖掘@192.168.11.24 example.org -t AXFR
区域转移发生在上方TCP端口53为了防止我们的DNS服务器向攻击者泄露关键信息,TCP端口53通常被阻止。如果保护权威DNS服务器的组织防火墙允许TCP端口53数据包,并且DNS服务器配置为允许向任何人进行区域传输,则此dig命令将成功。但是,大多数组织已经配置了他们的DNS服务器,以防止来自意外DNS服务器的区域传输。可以使用下面所示的allow transfer命令的任何一种形式在绑定区域文件中进行配置。
允许转让{“没有”;};allow-transfer {address_match_list};允许转让{192.168.11.11;};
此外,大多数组织还使用防火墙来阻止TCP端口53从他们的DNS服务器和互联网。这是双重保护,以防DNS服务器意外允许传输。
配置您的DNS服务器以允许仅向合法的DNS服务器进行区域传输一直是并将继续是一种最佳实践。然而,拒绝进出DNS服务器的TCP端口53的做法开始造成一些问题。有两个很好的理由,我们希望允许TCP和UDP端口53连接到我们的DNS服务器。一个是DNSSEC,第二个是IPv6。
DNSSEC创建更大的DNS响应
我爱阅读IP日报从1998年第一期就开始读了。
在最近一期的《知识产权杂志》(IP Journal)上,有一篇我的朋友斯蒂芬·拉格霍尔姆(Stephan Lagerholm)的文章安全64和德克萨斯州IPv6工作组名为“实现DNSSEC时的操作挑战”。本文讨论了组织在部署DNSSEC时遇到的许多警告。
提到的一个关键问题是DNSSEC可能导致DNS应答大于512字节。DNSSEC(在rfc4033、rfc4034和rfc4035中定义)需要能够传输更大的DNS消息,因为查询响应中包含额外的密钥信息。TCP端口53可用于DNS响应大于512字节的情况。然而,对于大型DNS消息,使用UDP消息比使用TCP更可取,这是因为TCP连接可以消耗每个连接的计算资源。DNS服务器每秒有大量的连接,使用TCP会增加太多的开销。为了解决这个问题,IETFRFC 2671“DNS的扩展机制(EDNS0)”定义了一种方法,将UDP缓冲区大小扩展到4096字节,以允许DNSSEC和更大的查询响应。要在bind9配置上启用EDNS0,可以使用以下BIND operations语句
edns-udp-size 4096;
DNSSEC的知名度增加了两年前披露的漏洞和最近的新闻U、 政府的努力来实现它。许多组织已经在计划他们的DNSSEC部署。随着关键顶级域(tld)的签署,DNSSEC正在得到更广泛的部署。TLD.组织现已签署。互联网的根区两个月前在弗吉尼亚的一个仪式上签署。VeriSign已经表达了他们支持DNSSEC的意愿。com和。net到2011年。康卡斯特创建了一个DNSSEC信息中心这个网站可以帮助你保持最新的DNSSEC状态。