As conexões TCP falsas na porta 53 são um problema?

Presumo que você esteja usando o servidor como um servidor DNS autorizado para um nome de domínio. Se for esse o caso, qualquer cliente que precise resolver um nome para o qual seu servidor tenha autoridade, precisará apenas usar UDP. O TCP deve ser usado para transferências de zona.

E também presumo que você não quer que o mundo seja capaz de fazer transferências de zona. Embora não seja um risco de segurança em si, as transferências de zona geralmente são permitidas apenas para servidores DNS secundários/de backup. A maioria dos softwares DNS também possui ACLs para controlar qual servidor tem permissão para fazer transferências de zona, então você também tem um segundo método para restringir isso. Mas como vejo a segurança como permitir apenas o que é necessário, sugiro que você bloqueie o TCP na porta 53 para hosts que não precisam fazer transferências de zona de você.

Como observação lateral, as conexões tcp de hosts adsl aleatórios na porta tcp 53 têm intenções maliciosas. Isso ocorre porque nenhum cliente legítimo precisa fazer transferências de zona suas. Eles podem estar tentando acessar informações confidenciais relacionadas à sua rede ou explorar vulnerabilidades de determinados softwares DNS.

Embora isso não seja algo para ser paranóico, é algo que você deve estar ciente.

TCP énãousado apenas para transferências de zona.

TCP é o substituto padrão usado por clientes DNS caso seu servidor DNS envie de volta uma resposta UDP truncada (TC = 1). Isso aconteceria se você estivesse servindo dados que excedessem 512 bytes em um único pacote.

Se você estiver executando um servidor DNS, entãodeveaceita conexões TCP de clientes DNS e não há risco de segurança inerente ao fazer isso. Há um risco muito pequeno de ataques DoS contra o servidor DNS, mas isso vale para qualquer serviço público.

Verrequisitos de rascunho-ietf-dnsext-dns-tcpque deve ser publicado como RFC no próximo mês.

VerRFC 5966para mais detalhes.

Isenção de responsabilidade - eu escrevi essa RFC.

As únicas coisas que deveriam usar seu host como servidor DNS são

• host local
• máquinas em sua rede que você definiu esse host como o servidor DNS para

A maneira mais simples de bloquear "todo o resto" é desabilitar a escuta do serviço nesse endereço. Se seus próprios dispositivos estiverem fora da "sua rede", use regras de firewall ( iptablesou qualquer outra coisa) para aceitar apenas conexões de seus endereços de rede externos. Se eles não forem corrigidos, você pode precisar de uma VPN ou outro túnel seguro para trazer os hosts externos “para dentro da sua rede”.

Tenha em mente que consultas DNS arbitrárias em seu servidor de nomes interno podem potencialmente mapear toda a sua rede para uma parte externa e apresentar um vetor de ataque ou fornecer informações que você preferiria não ter o resto se o mundo tivesse acesso. "Conexão ADSL aleatória" poderia facilmente ser máquinas de botnets zumbis sendo usadas para planejar algo desagradável contra você.

Existem muitos riscos de segurança ao abrir o TCP de entrada para o servidor de nomes - qualquer pessoa que não afirme isso não é sã. Basta olhar para o histórico de comprometimento raiz - a maior parte é feita usando TCP em combinação com UDP. O antigo RFC DEVE e DEVE foi elaborado por pessoas que entendem de segurança. Se você tiver zonas DNS que não usam o bit TC = 1 (ou excedam 512 bytes) - Não habilite o TCP de entrada, deixe os idiotas fazerem isso no futuro.