nomes de domínio completos, sufixos de pesquisa dhcp dns e pontos finais

Navegue suas respostas
2

link não funciona, observe o ponto final. 

Bad Request - Invalid Hostname 
HTTP Error 400. The request hostname is invalid.

Os servidores devem ser configurados para negar qualquer URL sem um ponto final? (Sem o ponto final, eles não são FQDNs, por RFCs, são nomes de domínio relativos.)

Não é possível que um servidor DHCP não autorizado possa enviar um caminho de pesquisa de sufixo do DNS para os clientes e explorar isso?
Supondo que um servidor DHCP desonesto fosse capaz de empurrar o sufixo de pesquisa do DNS de "evildomain.com", um usuário que fosse ao chase.com, resultaria em "chase.com.evildomain.com". Um usuário que vai ao "chase.com". (com ponto final, é um FQDN) não seria vulnerável a essa exploração.

Quase todas as URLs que vejo publicadas na mídia são relativas (pois o ponto à direita não é explícito e só se torna um verdadeiro FQDN quando o ponto final é adicionado pelas bibliotecas subjacentes).

Não devemos impor nomes de domínio absolutos ou FQDNs, tanto quanto possível?

No Windows, um servidor da web mal-intencionado não poderia simplesmente alterar o caminho de pesquisa de sufixo dns de um usuário final? Em caixas * nix, a escalação de privilégios seria necessária para atualizar o resolv.conf (onde os sufixos de pesquisa do DNS são configurados), mas os usuários nix ainda não estariam vulneráveis a um cenário de falsificação de DHCP?

    
por nandoP 15.04.2015 / 21:26

3 respostas

2

Sim, isso é uma vulnerabilidade. Não , os servidores não devem parar de oferecer conteúdo quando consultados usando nomes de domínio relativos à Internet.

Tentando descobrir se um nome é parente na internet ou apenas relativo não é um problema com uma boa solução geral sem estado. Uma má solução sem estado é abolir o uso de todos os nomes relativos. Nomes relativos existem por razões válidas.

Deve-se ter cuidado para garantir que o uso do FQDN resulte no mesmo conteúdo que o nome de domínio relativo à Internet. Isso é principalmente um problema para http servidores.

Se você quer ser zeloso sem ser desagradável:

  • nunca usa nomes de domínio relativos à Internet quando você pode usar o FQDN
  • use redirecionamentos permanentes 308 ou 301 nos seus servidores da web para direcionar os clientes para a direção certa.
por 15.04.2015 / 23:24
2

Sempre que eu configuro qualquer coisa que aceite um nome de domínio DNS, incluo o ponto final. Alguns sistemas rejeitam isso em suas tentativas de validar a entrada, o que é uma vergonha. Os clientes Windows que dependem da devolução de DNS para o AD andando podem ser problemáticos se você tiver um sufixo de domínio de duas partes. MS documentou soluções alternativas.

Referência resolv.conf ... A configuração equivalente do Windows também requer a elevação de privilégios para efetuar uma alteração.

    
por 15.04.2015 / 22:41
0

Por padrão, os clientes DNS tentam consultas contendo pelo menos um ponto como FQDN antes de tentar o caminho de pesquisa.

    
por 15.04.2015 / 21:36

Tags

Como recuperar dados de um servidor Windows 2003 HP StorageWorks Ultrium 448 Backup via Linux? Qual é a diferença entre Chef Cookbooks e Chef Roles?