Mengapa universitas memblokir lalu lintas masuk UDP dengan port tujuan 53?

20

Dari pemahaman saya, DNS menggunakan UDP dan port 53. Hal-hal apa yang tidak diinginkan dapat terjadi jika paket UDP masuk ke nomor port 53 tidak diblokir?

PEMBARUAN: Paket yang berasal atau ditujukan ke server DNS lokal yang dioperasikan universitas atau server DNS otoritatif yang dioperasikan universitas akan diizinkan.

domain-name-system security udp Daniel Kobe
sumber
19
Why would a university block incoming UDP traffic with destination port 53?- Kenapa tidak? Atau dengan kata lain: Mengapa mereka mengizinkan lalu lintas UDP (atau TCP) masuk dengan port tujuan 53 untuk transit jaringan / firewall masuk kecuali untuk mendapatkan ke server nama otoritatif untuk nama domain publik jika nama server tersebut di-host di jaringan universitas internal?
joeqwerty
2
Semua lalu lintas UDP masuk untuk port 53 diblokir, kecuali ke server DNS universitas sendiri? Kedengarannya mencurigakan seperti upaya menggunakan DNS untuk menyensor bagi saya. Meskipun itu tidak berfungsi sama sekali pada sistem apa pun yang dapat saya pikirkan, karena klien hanya akan mencoba TCP ketika permintaan UDP tidak kembali. Kecuali Anda lupa menyebutkan bahwa mereka juga menjatuhkan lalu lintas TCP untuk port 53.
Blacklight Shining
5
Sebagai praktik umum, administrator sistem tidak pernah bertanya pada diri sendiri "apakah ada alasan bagus mengapa saya harus memblokir port ini". Biasanya, mereka memiliki semua port diblokir secara default di firewall mereka, dan mereka bertanya pada diri sendiri "apakah ada alasan yang sangat bagus mengapa saya harus membuka port ini".
Federico Poloni
DNS tidak hanya menggunakan UDP, tetapi juga menggunakan TCP. jika Anda mengizinkan lalu lintas UDP, Anda harus mengizinkan TCP juga, atau hal-hal akan pecah (dan sebaliknya, jika Anda menjatuhkan UDP, drop TCP juga).
Edheldil
2
@FedericoPoloni Hanya saja jangan berpura-pura bahwa Anda memberikan "akses Internet" jika Anda melakukan ini, karena Anda tidak.
David Schwartz

Jawaban:

40

Logikanya bekerja seperti ini:

  1. Hanya DNS server otoritatif yang memberikan catatan untuk internet yang diperlukan untuk diekspos.
  2. Buka server rekursif yang terpapar ke internet pasti akan ditemukan oleh pemindaian jaringan dan disalahgunakan. (Lihat jawaban user1700494)
  3. Kemungkinan seseorang secara tidak sengaja berdiri di server rekursif terbuka lebih besar daripada server DNS otoritatif yang terpapar. Ini karena banyak peralatan dan "out of the box" mengkonfigurasi default untuk memungkinkan rekursi yang tidak terbatas. Konfigurasi otoritatif jauh lebih disesuaikan dan jarang ditemui.
  4. Diberikan 1-3, menjatuhkan semua lalu lintas masuk yang tidak diminta dengan port tujuan 53 melindungi jaringan. Dalam peristiwa yang jarang terjadi bahwa server DNS otoritatif lain perlu ditambahkan ke jaringan (acara yang direncanakan), pengecualian dapat didefinisikan berdasarkan kebutuhan.
Andrew B
sumber
24

Misalnya, penyerang dapat menggunakan server DNS universitas sebagai host transit untuk DNS Amplification DDoS Attack

pengguna1700494
sumber
Di tautan yang Anda poskan, di bawah amplifikasi dns, ini menyebutkan bagaimana Anda dapat menggunakan kueri penggalian untuk menerima respons 50x lebih besar dari kueri. Tetapi jika lalu lintas UDP yang masuk pada port 53 diblokir kenapa saya masih bisa membuat permintaan menggali ke alamat universitas.
Daniel Kobe
1
@DanielKobe Zona DNS yang memiliki catatan host yang dimaksud tidak terikat hanya ada di server DNS yang saat ini Anda tidak dapat mengirim paket UDP / 53. Ini juga bisa menjadi indikasi pengaturan DNS split-horizon.
Mathias R. Jessen
11

Jawaban Andrew B luar biasa. Apa yang dia katakan.

Untuk menjawab pertanyaan "Hal-hal apa yang tidak diinginkan dapat terjadi jika paket UDP masuk ke nomor port 53 tidak diblokir?" lebih khusus, saya mencari "serangan berbasis DNS" di Google dan mendapatkan artikel praktis ini . Mengutip:

  1. Serangan DoS Refleksi Terdistribusi
  2. Keracunan Cache
  3. TCP SYN mengalami banjir
  4. Penerowongan DNS
  5. Pembajakan DNS
  6. Serangan NXDOMAIN dasar
  7. Serangan Domain Phantom
  8. Serangan subdomain acak
  9. Serangan penguncian domain
  10. Serangan berbasis botnet dari perangkat CPE

Itu bukan daftar konklusif dari kemungkinan serangan berbasis DNS, hanya sepuluh yang ditemukan cukup penting untuk disebutkan.

Sungguh, jawaban singkatnya adalah "Jika Anda tidak perlu mengungkapkannya, jangan."

Katherine Villyard
sumber
3
"If you don't have to expose it, don't."yang berlaku untuk banyak hal dalam hidup.
user9517 mendukung GoFundMonica
3

Mereka memblokirnya, karena mereka dapat dan itu adalah kebijakan keamanan yang masuk akal.

Masalahnya seringkali lebih serius daripada memiliki resolvers terbuka yang potensial - pada akhirnya, tidak masalah mengatur server DNS dengan aman, tanpa resolvers terbuka, dengan langkah-langkah anti-DDOS ketika server atau mesin apa pun dengan layanan DNS diinstal secara tidak sengaja , dan melakukan permintaan penerusan DNS ke server DNS utama akan memungkinkan penyerang untuk melewati pembatasan lalu lintas dan pembatasan keamanan yang diterapkan pada server DNS Anda.

Permintaan juga akan muncul berasal dari infrastruktur internal, dan dapat memaparkan nama-nama internal DNS, dan rincian yang tidak diinginkan dari organisasi internal / jaringan / pengalamatan IP.

Juga, sesuai aturan keamanan jaringan, semakin sedikit jumlah layanan dan layanan yang Anda paparkan ke luar, semakin sedikit kemungkinan mereka dikompromikan dan digunakan sebagai titik masuk untuk meningkatkan serangan pada infrastruktur Anda dari dalam.

Rui F Ribeiro
sumber
2

Biasanya, ketika datang ke lalu lintas UDP, Anda ingin membatasi karena:

a) Dibandingkan dengan TCP, filter paket lebih sulit untuk menentukan apakah suatu paket masuk adalah jawaban atas permintaan dari dalam jaringan ... atau permintaan yang tidak diminta. Menegakkan peran klien / server melalui firewall packet filtering semakin sulit.

b) Setiap proses yang mengikat ke port UDP di server atau komputer klien, bahkan jika itu hanya mengikat ke port itu karena ingin membuat permintaan itu sendiri, akan terkena paket yang tidak diminta juga, membuat keamanan sistem tergantung pada tidak adanya cacat dalam proses yang akan memungkinkan mengeksploitasi atau membingungkannya. Ada masalah dengan misalnya klien NTP di masa lalu. Dengan klien TCP, data yang tidak diminta yang dikirim ke klien itu, dalam banyak kasus, akan dibuang oleh sistem operasi.

c) Jika Anda menjalankan NAT, lalu lintas UDP yang berat dapat menciptakan banyak beban kerja untuk peralatan NATing karena alasan yang sama seperti pada a)

pemeras
sumber
0

Ada Alat yang membuat terowongan VPN menggunakan protokol dan port DNS.

yodium adalah salah satunya. Hal ini memungkinkan untuk mem-bypass firewall dengan tunneling traffic sepenuhnya melalui server yang menjalankan perangkat lunak ini. Seperti yang dinyatakan dalam uraian, ini menggunakan protokol DNS.

Alat ini dan yang serupa mungkin menjadi alasan pembatasan ini.

Gerhard
sumber
2
Anda dapat melakukan tunnel IP pada hampir semua protokol aplikasi umum, belum lagi TLS, jadi itu bukan alasan yang baik untuk menjatuhkan lalu lintas. Selain itu, Anda akan berpikir skema IP-over-DNS akan mengikat ke sisi klien port sesaat (seperti yang dilakukan klien DNS biasa), daripada port 53.
Blacklight Shining