Sind unerwünschte TCP-Verbindungen auf Port 53 ein Problem?

Ich gehe davon aus, dass Sie den Server als autoritativen DNS-Server für einen Domänennamen verwenden. In diesem Fall müsste jeder Client, der einen Namen auflösen muss, für den Ihr Server autorisiert ist, nur UDP verwenden. TCP ist für Zonenübertragungen zu verwenden.

Und ich gehe auch davon aus, dass Sie nicht möchten, dass die Welt Zonenübertragungen durchführen kann. Obwohl Zonenübertragungen an sich kein Sicherheitsrisiko darstellen, sind sie normalerweise nur für sekundäre/Backup-DNS-Server zulässig. Die meisten DNS-Programme verfügen auch über ACLs, um zu steuern, welcher Server Zonenübertragungen durchführen darf, sodass Sie auch eine zweite Möglichkeit haben, dies einzuschränken. Da ich Sicherheit jedoch darin sehe, nur das zuzulassen, was nötig ist, schlage ich vor, dass Sie TCP auf Port 53 für Hosts blockieren, die keine Zonenübertragungen von Ihnen durchführen müssen.

Als Randbemerkung: TCP-Verbindungen von zufälligen ADSL-Hosts auf TCP-Port 53 haben böswillige Absichten. Das liegt daran, dass kein legitimer Client Zonenübertragungen von Ihnen durchführen muss. Sie versuchen möglicherweise, auf vertrauliche Informationen in Bezug auf Ihr Netzwerk zuzugreifen oder Schwachstellen in bestimmter DNS-Software auszunutzen.

Dies ist zwar kein Grund zur Paranoia, Sie sollten sich dessen jedoch bewusst sein.

TCP istnichtwird nur für Zonenübertragungen verwendet.

TCP ist die Standardfallbackmethode, die von DNS-Clients verwendet wird, falls Ihr DNS-Server jemals eine verkürzte (TC=1) UDP-Antwort zurücksendet. Dies würde passieren, wenn Sie Daten bereitstellen, die 512 Bytes in einem einzelnen Paket überschreiten.

Wenn Sie einen DNS-Server betreiben, dannsollenAkzeptieren Sie TCP-Verbindungen von DNS-Clients und es besteht dabei kein inhärentes Sicherheitsrisiko. Es besteht ein sehr geringes Risiko von DoS-Angriffen auf den DNS-Server, aber das gilt für jeden öffentlichen Dienst.

SehenEntwurf-IETF-DNSEXT-DNS-TCP-Anforderungendas im nächsten Monat als RFC veröffentlicht werden soll.

SehenRFC 5966für mehr Details.

Ob-Haftungsausschluss – ich habe dieses RFC geschrieben.

Die einzigen Dinge, die Ihren Host als DNS-Server verwenden sollten, sind

• lokaler Host
• Maschinen in Ihrem Netzwerk, für die Sie diesen Host als DNS-Server festgelegt haben

Die einfachste Möglichkeit, „alles andere“ zu blockieren, besteht darin, den Dienst daran zu hindern, auf dieser Adresse zu lauschen. Wenn sich Ihre eigenen Geräte außerhalb „Ihres Netzwerks“ befinden, verwenden Sie Firewall-Regeln ( iptablesoder was auch immer), um nur Verbindungen von Ihren externen Netzwerkadressen zu akzeptieren. Wenn diese nicht behoben sind, benötigen Sie möglicherweise ein VPN oder einen anderen sicheren Tunnel, um die externen Hosts „innerhalb Ihres Netzwerks“ zu bringen.

Bedenken Sie, dass willkürliche DNS-Abfragen an Ihren internen Nameserver Ihr gesamtes Netzwerk potenziell einem externen Dritten zuordnen und entweder einen Angriffsvektor darstellen oder Informationen preisgeben können, auf die der Rest der Welt lieber keinen Zugriff haben soll. Bei einer „zufälligen ADSL-Verbindung“ könnte es sich durchaus um Zombie-Botnet-Maschinen handeln, die dazu verwendet werden, etwas Böses gegen Sie zu planen.

Das Öffnen eingehender TCP-Verbindungen zum Nameserver birgt viele Sicherheitsrisiken – wer das nicht behauptet, ist nicht ganz bei Sinnen. Sehen Sie sich einfach die Geschichte der Root-Kompromisse an – das meiste davon wird durch die Kombination von TCP und UDP verursacht. Die alten MUST- und SHOULD-RFCs wurden von Leuten erstellt, die sich mit Sicherheit auskennen. Wenn Sie DNS-Zonen haben, die nicht TC=1 Bit verwenden (oder 512 Bytes überschreiten), aktivieren Sie eingehende TCP-Verbindungen nicht, lassen Sie das in Zukunft die Idioten tun.