Назад | Перейти на главную страницу

Зачем университету блокировать входящий UDP-трафик с портом назначения 53?

Насколько я понимаю, DNS использует UDP и порт 53. Что нежелательного может произойти, если входящие пакеты UDP на порт номер 53 не были заблокированы?

ОБНОВЛЕНИЕ: пакеты исходят или предназначены для локального DNS-сервера университета или авторитетного DNS-сервера, управляемого университетом.

Логика работает так:

  1. Только официальные DNS-серверы, которые предоставляют записи в Интернет, являются обязательный быть разоблаченным.
  2. Открытые рекурсивные серверы, подключенные к Интернету, неизбежно будут обнаружены сканированием сети и подвергнуты злоупотреблениям. (См. Ответ user1700494)
  3. Вероятность того, что кто-то случайно включит открытый рекурсивный сервер, выше, чем вероятность открытого авторитетного DNS-сервера. Это связано с тем, что многие устройства и конфигурации "из коробки" по умолчанию разрешают неограниченную рекурсию. Авторитетные конфигурации гораздо более индивидуализированы и встречаются редко.
  4. Если задано значение 1-3, отбрасывание всего нежелательного входящего трафика с портом назначения 53 защищает сеть. В редких случаях, когда в сеть необходимо добавить другой полномочный DNS-сервер (запланированное событие), исключения могут быть определены по мере необходимости.

Например, злоумышленники могут использовать университетский DNS-сервер в качестве транзитного узла для DDoS-атака с усилением DNS

Ответ Эндрю Б. отличный. Что он сказал.

Чтобы ответить на вопрос «Что нежелательного может произойти, если входящие UDP-пакеты на порт номер 53 не будут заблокированы?» более конкретно, я погуглил "DNS-атаки" и получил эта удобная статья. Перефразируя:

  1. DoS-атака с распределенным отражением
  2. Отравление кеша
  3. TCP SYN флуд
  4. DNS-туннелирование
  5. Перехват DNS
  6. Базовая атака NXDOMAIN
  7. Атака фантомного домена
  8. Случайная атака на поддомен
  9. Атака блокировки домена
  10. Атаки на основе ботнетов с устройств CPE

Это не исчерпывающий список возможных атак на основе DNS, всего десять, о которых в статье было сказано достаточно внимания.

На самом деле, краткий ответ: «Если вы не иметь разоблачать его, не надо ".

Они блокируют это, потому что могут, и это разумная политика безопасности.

Проблема часто бывает более серьезной, чем наличие потенциальных открытых резолверов - в конце концов, не имеет значения безопасная настройка DNS-серверов, без использования открытых резолверов, с мерами защиты от DDOS, когда любой сервер или компьютер со службой DNS установлен по ошибке , а выполнение запросов переадресации DNS на главный DNS-сервер позволит любому злоумышленнику обойти ваши ограничения трафика и ограничения безопасности, реализованные на ваших DNS-серверах.

Запросы также будут поступать из внутренней инфраструктуры и могут раскрыть внутренние имена DNS и нежелательные детали внутренней организации / сети / IP-адресации.

Кроме того, в соответствии с правилами сетевой безопасности, чем меньше сервисов и сервисов вы открываете извне, тем меньше вероятность того, что они будут скомпрометированы и использованы в качестве точки входа для атаки на вашу инфраструктуру изнутри.

Обычно, когда дело доходит до UDP-трафика, вы хотите ввести ограничения, потому что:

а) По сравнению с TCP, фильтру пакетов сложнее надежно определить, является ли входящий пакет ответом на запрос изнутри сети ... или незапрашиваемым запросом. Таким образом, усложняется обеспечение ролей клиент / сервер через брандмауэр с фильтрацией пакетов.

б) Любой процесс, который привязывается к порту UDP на сервере или клиентском компьютере, даже если он привязывается к этому порту только потому, что он хочет сам сделать запрос, также будет подвержен незапрошенным пакетам, что делает безопасность системы зависимой от отсутствия дефекты в процессе, которые позволили бы его использовать или запутать. В прошлом такие проблемы возникали, например, с клиентами NTP. В случае TCP-клиента незапрошенные данные, отправленные этому клиенту, в большинстве случаев будут отброшены операционной системой.

c) Если вы используете NAT, интенсивный трафик UDP может создать большую рабочую нагрузку для оборудования NAT по тем же причинам, что и в a)

Существуют инструменты, которые создают VPN-туннель с использованием протокола и порта DNS.

йод один из них. Это позволяет обходить брандмауэры, полностью туннелируя трафик через сервер, на котором запущено это программное обеспечение. Как указано в описании, он использует протокол DNS.

Этот и аналогичные инструменты могут быть причиной этого ограничения.