Dari pemahaman saya, DNS menggunakan UDP dan port 53. Hal-hal apa yang tidak diinginkan dapat terjadi jika paket UDP masuk ke nomor port 53 tidak diblokir?
PEMBARUAN: Paket yang berasal atau ditujukan ke server DNS lokal yang dioperasikan universitas atau server DNS otoritatif yang dioperasikan universitas akan diizinkan.
domain-name-system
security
udp
Daniel Kobe
sumber
sumber
Why would a university block incoming UDP traffic with destination port 53?
- Kenapa tidak? Atau dengan kata lain: Mengapa mereka mengizinkan lalu lintas UDP (atau TCP) masuk dengan port tujuan 53 untuk transit jaringan / firewall masuk kecuali untuk mendapatkan ke server nama otoritatif untuk nama domain publik jika nama server tersebut di-host di jaringan universitas internal?Jawaban:
Logikanya bekerja seperti ini:
sumber
Misalnya, penyerang dapat menggunakan server DNS universitas sebagai host transit untuk DNS Amplification DDoS Attack
sumber
Jawaban Andrew B luar biasa. Apa yang dia katakan.
Untuk menjawab pertanyaan "Hal-hal apa yang tidak diinginkan dapat terjadi jika paket UDP masuk ke nomor port 53 tidak diblokir?" lebih khusus, saya mencari "serangan berbasis DNS" di Google dan mendapatkan artikel praktis ini . Mengutip:
Itu bukan daftar konklusif dari kemungkinan serangan berbasis DNS, hanya sepuluh yang ditemukan cukup penting untuk disebutkan.
Sungguh, jawaban singkatnya adalah "Jika Anda tidak perlu mengungkapkannya, jangan."
sumber
"If you don't have to expose it, don't."
yang berlaku untuk banyak hal dalam hidup.Mereka memblokirnya, karena mereka dapat dan itu adalah kebijakan keamanan yang masuk akal.
Masalahnya seringkali lebih serius daripada memiliki resolvers terbuka yang potensial - pada akhirnya, tidak masalah mengatur server DNS dengan aman, tanpa resolvers terbuka, dengan langkah-langkah anti-DDOS ketika server atau mesin apa pun dengan layanan DNS diinstal secara tidak sengaja , dan melakukan permintaan penerusan DNS ke server DNS utama akan memungkinkan penyerang untuk melewati pembatasan lalu lintas dan pembatasan keamanan yang diterapkan pada server DNS Anda.
Permintaan juga akan muncul berasal dari infrastruktur internal, dan dapat memaparkan nama-nama internal DNS, dan rincian yang tidak diinginkan dari organisasi internal / jaringan / pengalamatan IP.
Juga, sesuai aturan keamanan jaringan, semakin sedikit jumlah layanan dan layanan yang Anda paparkan ke luar, semakin sedikit kemungkinan mereka dikompromikan dan digunakan sebagai titik masuk untuk meningkatkan serangan pada infrastruktur Anda dari dalam.
sumber
Biasanya, ketika datang ke lalu lintas UDP, Anda ingin membatasi karena:
a) Dibandingkan dengan TCP, filter paket lebih sulit untuk menentukan apakah suatu paket masuk adalah jawaban atas permintaan dari dalam jaringan ... atau permintaan yang tidak diminta. Menegakkan peran klien / server melalui firewall packet filtering semakin sulit.
b) Setiap proses yang mengikat ke port UDP di server atau komputer klien, bahkan jika itu hanya mengikat ke port itu karena ingin membuat permintaan itu sendiri, akan terkena paket yang tidak diminta juga, membuat keamanan sistem tergantung pada tidak adanya cacat dalam proses yang akan memungkinkan mengeksploitasi atau membingungkannya. Ada masalah dengan misalnya klien NTP di masa lalu. Dengan klien TCP, data yang tidak diminta yang dikirim ke klien itu, dalam banyak kasus, akan dibuang oleh sistem operasi.
c) Jika Anda menjalankan NAT, lalu lintas UDP yang berat dapat menciptakan banyak beban kerja untuk peralatan NATing karena alasan yang sama seperti pada a)
sumber
Ada Alat yang membuat terowongan VPN menggunakan protokol dan port DNS.
yodium adalah salah satunya. Hal ini memungkinkan untuk mem-bypass firewall dengan tunneling traffic sepenuhnya melalui server yang menjalankan perangkat lunak ini. Seperti yang dinyatakan dalam uraian, ini menggunakan protokol DNS.
Alat ini dan yang serupa mungkin menjadi alasan pembatasan ini.
sumber