Por que uma universidade bloquearia o tráfego UDP de entrada com a porta de destino 53?

Navegue suas respostas
20

Do meu ponto de vista, o DNS usa o UDP e a porta 53. Que coisas indesejáveis poderiam acontecer se os pacotes UDP de entrada para a porta número 53 não fossem bloqueados?

ATUALIZAÇÃO: Os pacotes originados ou destinados ao servidor DNS local operado pela universidade ou ao servidor DNS autoritativo operado pela universidade seriam permitidos.

    
por Daniel Kobe 10.02.2016 / 19:02

6 respostas

40

A lógica funciona assim:

  1. Somente servidores DNS autoritativos que fornecem registros para a internet são necessários para serem expostos.
  2. Os servidores recursivos abertos que estão expostos à Internet serão inevitavelmente encontrados por varreduras de rede e violados. (Veja a resposta do user1700494)
  3. A probabilidade de alguém acidentalmente se levantar em um servidor recursivo exposto é maior que a de um servidor DNS autoritativo exposto. Isso ocorre porque muitos appliances e configurações "out of the box" padrão permitem recursão irrestrita. As configurações autoritativas são muito mais personalizadas e raramente encontradas.
  4. Dado de 1 a 3, a eliminação de todo o tráfego de entrada não solicitado com uma porta de destino de 53 protege a rede. No caso raro de que outro servidor DNS autoritativo precise ser adicionado à rede (um evento planejado), as exceções podem ser definidas conforme a necessidade.
por 10.02.2016 / 19:24
24

Por exemplo, os invasores podem usar o servidor DNS da universidade como host de transporte público para Ataque DDoS de amplificação de DNS

    
por 10.02.2016 / 19:09
11

A resposta de Andrew B é excelente. O que ele disse.

Para responder à pergunta "Que coisas indesejáveis poderiam acontecer se os pacotes UDP de entrada para a porta número 53 não fossem bloqueados?" mais especificamente, eu pesquisei "ataques baseados em DNS" e obtive este artigo útil . Parafraseando:

  1. ataque DoS de reflexão distribuída
  2. Envenenamento de cache
  3. inundações TCP SYN
  4. encapsulamento de DNS
  5. sequestro de DNS
  6. ataque básico NXDOMAIN
  7. Ataque de domínio fantasma
  8. Ataque por subdomínio aleatório
  9. Ataque de bloqueio de domínio
  10. Ataques baseados em botnet de dispositivos CPE

Essa não é uma lista conclusiva de possíveis ataques baseados em DNS, apenas dez que um artigo achou digno de nota para mencionar.

Realmente, a resposta curta é "Se você não tiver para expor isso, não".

    
por 10.02.2016 / 20:48
3

Eles estão bloqueando, porque podem e é uma política de segurança sensata.

O problema geralmente é mais sério do que ter possíveis resolvedores abertos - no final do dia não importa configurar servidores DNS com segurança, sem serem resolvedores abertos, com medidas anti-DDOS quando qualquer servidor ou máquina com um serviço DNS instalado por engano, e fazer solicitações de encaminhamento de DNS para o servidor DNS principal permitirá que qualquer invasor ignore suas restrições de limitação de tráfego e segurança implementadas em seus servidores DNS.

As solicitações também parecem vir da infra-estrutura interna e podem expor nomes internos do DNS e detalhes indesejados da organização interna / rede / endereçamento IP.

Além disso, conforme as regras de segurança da rede, quanto menor o número de serviços e serviços que você expõe ao exterior, menos probabilidades deles serão comprometidas e usados como ponto de entrada para aproveitar um ataque à sua infra-estrutura de dentro .

    
por 11.02.2016 / 14:49
2

Normalmente, quando se trata de tráfego UDP, você quer ser restritivo porque:

a) Comparado ao TCP, é mais difícil para um filtro de pacotes determinar com segurança se um pacote de entrada é uma resposta a uma solicitação de dentro da rede ... ou uma solicitação não solicitada. A imposição de funções de cliente / servidor por meio de um firewall de filtragem de pacotes fica mais difícil.

b) Qualquer processo que se conecte a uma porta UDP em um servidor ou computador cliente, mesmo que apenas se vincule a essa porta porque deseja fazer uma solicitação, será exposto a pacotes não solicitados também, tornando a segurança do sistema dependente não havendo defeitos no processo que permitam explorá-lo ou confundi-lo. Houve tais problemas com, por exemplo, clientes NTP no passado. Com um cliente TCP, os dados não solicitados enviados para esse cliente serão, na maioria dos casos, descartados pelo sistema operacional.

c) Se você estiver executando o NAT, o tráfego pesado do UDP pode criar muita carga de trabalho para o equipamento NAT por motivos semelhantes, como em a)

    
por 11.02.2016 / 23:47
0

Existem ferramentas que criam túnel VPN usando o protocolo DNS e a porta.

iodo é um deles. Ele permite contornar firewalls através do encapsulamento do tráfego completamente através de um servidor executando este software. Como a descrição indica, ele usa o protocolo DNS.

Esta e outras ferramentas semelhantes podem ser a razão para essa limitação.

    
por 12.02.2016 / 06:33

Tags

Como verificar a rede local em computadores com capacidade para SSH? Monitora continuamente logs com cauda que são girados ocasionalmente