¿Son un problema las conexiones TCP falsas en el puerto 53?

Supongo que está utilizando el servidor como servidor DNS autorizado para un nombre de dominio. Si ese es el caso, cualquier cliente que necesite resolver un nombre para el que su servidor tiene autoridad solo necesitará usar UDP. TCP se utilizará para transferencias de zona.

Y también asumo que no quieres que el mundo pueda realizar transferencias de zona. Si bien no es un riesgo de seguridad en sí mismo, las transferencias de zona generalmente solo se permiten a los servidores DNS secundarios/de respaldo. La mayoría del software DNS también tiene ACL para controlar qué servidor puede realizar transferencias de zona, por lo que también tiene un segundo método para restringir eso. Pero como veo que la seguridad permite solo lo que se necesita, le sugiero que bloquee TCP en el puerto 53 para los hosts que no necesitan realizar transferencias de zona desde usted.

Como nota al margen, las conexiones TCP desde hosts ADSL aleatorios en el puerto TCP 53 tienen intenciones maliciosas. Esto se debe a que ningún cliente legítimo debería necesitar realizar transferencias de zona por su parte. Es posible que estén intentando acceder a información confidencial relacionada con su red o aprovechar las vulnerabilidades de cierto software DNS.

Si bien esto no es algo por lo que estar paranoico, es algo que debes tener en cuenta.

TCP esnoSólo se utiliza para transferencias de zona.

TCP es el respaldo predeterminado utilizado por los clientes DNS en caso de que su servidor DNS alguna vez envíe una respuesta UDP truncada (TC=1). Esto sucedería si está entregando datos que superan los 512 bytes en un solo paquete.

Si está ejecutando un servidor DNS, entoncesdeberíaAcepta conexiones TCP de clientes DNS y no existe ningún riesgo de seguridad inherente al hacerlo. Existe un riesgo muy leve de ataques DoS contra el servidor DNS, pero eso se aplica a cualquier servicio público.

Verborrador-ietf-dnsext-dns-tcp-requisitosque debería publicarse como RFC dentro del próximo mes.

VerRFC 5966para más detalles.

Ob descargo de responsabilidad: escribí ese RFC.

Las únicas cosas que deberían utilizar su host como servidor DNS son

• servidor local
• máquinas en su red para las que configuró ese host como servidor DNS

La forma más sencilla de bloquear "todo lo demás" es desactivar el servicio para que no escuche en esa dirección. Si sus propios dispositivos están fuera de "su red", use reglas de firewall ( iptableso lo que sea) para aceptar solo conexiones desde su(s) dirección(es) de red externa. Si no están solucionados, es posible que necesite una VPN u otro túnel seguro para llevar los hosts externos "dentro de su red".

Tenga en cuenta que las consultas DNS arbitrarias contra su servidor de nombres interno pueden potencialmente asignar toda su red a una parte externa y presentar un vector de ataque o revelar información a la que preferiría que el resto no tuviera acceso. La "conexión ADSL aleatoria" podría fácilmente ser máquinas de botnet zombies que se utilizan para planear algo desagradable en su contra.

Existen muchos riesgos de seguridad al abrir TCP entrante al servidor de nombres; cualquiera que no afirme esto no está en su sano juicio. Basta con mirar el historial de compromisos de raíz: la mayor parte se realiza mediante el uso de TCP en combinación con UDP. El antiguo RFC DEBE y DEBE fue elaborado por personas que saben de seguridad. Si tiene zonas DNS que no usan TC=1 bit (o exceden los 512 bytes), no habilite el TCP entrante, deje que los imbéciles lo hagan en el futuro.