Sem resolução de DNS

Navegue suas respostas
2

Os administradores do nosso servidor informam que o nosso servidor não tem resoluções de DNS porque estão sob regulamentos rígidos do PCI DSS para dados de saída. Eu não entendo muito bem isso porque o servidor é usado para hospedar um site que todos podem acessar a partir do URL, mas quando eu logon via Remote Desktop no servidor, eu não posso usar a internet do servidor, ou seja, ele pode servir dados mas não pode enviar dados de saída. Como isso é possível? Como pode ter acesso à Internet enviando dados http de um lado para outro, mas não consegue resolver nomes DNS?

    
por Dennis Williamson 24.09.2009 / 12:03

2 respostas

6

Geralmente, nesta situação, o firewall está configurado para fazer algumas coisas:

  1. Permitir somente conexões de entrada em portas de serviço específicas (HTTP e HTTPS).

  2. Permitir somente conexões de saída relacionadas a conexões de entrada (ou seja, a resposta a solicitações HTTP dos clientes). Em muitos casos, as solicitações de DNS são bloqueadas explicitamente.

Isso impede que o servidor faça suas próprias conexões com outros endereços IP, incluindo a prevenção de conexões com servidores DNS para fins de pesquisa de DNS. Essa é uma maneira de impedir que códigos maliciosos no servidor transfiram dados para outro local e baixem outros dados. Isso também impede que os administradores de servidores "naveguem na web" no servidor, o que eles definitivamente não deveriam fazer de qualquer maneira.

    
por 24.09.2009 / 12:17
1

O que você descreve pode ser obtido por meio do firewall com informações de estado.

Quando uma conexão TCP de entrada chega ao cabeçalho do pacote inicial, o bit SYN é definido. Isso indica que é o primeiro pacote em um novo fluxo TCP. Agora, se o firewall permitir, por exemplo, para a porta 80, um "estado" será criado e aplicado a todos os outros pacotes no mesmo fluxo. Quaisquer pacotes que correspondam a esse estado serão permitidos pelo firewall, o que inclui respostas enviadas do servidor para o cliente.

O rastreamento de conexões UDP e ICMP é um pouco mais confuso porque fundamentalmente elas são sem conexão. Eles não contêm nenhuma das informações de fluxo encontradas em uma sessão TCP. Mas funciona mais ou menos da mesma maneira.

Com isso em mente, suas pesquisas de DNS de saída estão sendo desativadas por firewall porque as conexões estão iniciando por dentro. Considerando que o tráfego HTTP está iniciando a partir do exterior e sendo permitido pela política.

    
por 24.09.2009 / 12:24

Tags

Quais ferramentas você recomenda para obter dados de bancos de dados SQLServer 2000? teste de estresse SMTP