Devemos permitir a transferência de zona DNS para servidores-raiz e pais de servidores NS da zona?

2

Eu nunca encontrei nenhuma referência a isso em exemplos de setups, incluindo aqueles do Bind ARM.
No entanto, percebi que meu servidor autoritativo recebia solicitações de transferência de IPs - não seus nomes - que faziam parte de um conjunto de servidores-raiz - a raiz do DNS.
Eu estava prestes a permitir essas transferências na minha configuração e pensei em verificar novamente.

Se eu estiver certo, a raiz só responderá pelos gTLDs e, depois, pelos TLDs apenas pelos respectivos domínios de nível seguinte - delegações. Mas, se eu entendi o design hierárquico do DNS, cabe a cada servidor fornecer todas as informações que ele possui, em vez de fornecer o mínimo estrito e encaminhar o cliente para o processo iterativo. Então, por que não, um servidor raiz poderia querer responder sobre minhas zonas ... isso aliviaria meus próprios servidores.

Então, primeiro de tudo, por que um servidor raiz (parece) pede minhas zonas?
Isso pode realmente ser um ataque?

Ou, se estiver tudo bem, ainda existe o risco de que tal servidor ou TLDs - permitirão transferências para as zonas que ele manipula enquanto isso pode não ser nossa política - não confie nos peixes grandes para sempre gerenciar perfeitamente configurações.

Acho que podemos nos sentir diferentes dependendo se já autenticamos as zonas com DNSSEC, já que confiar na raiz das assinaturas DNSSEC não é apenas equivalente a confiar na raiz para todo o conteúdo da zona.

E, a propósito, se permitirmos as transferências, também enviaremos notificações sobre modificações.

* Eu sinto que essa pergunta também deve ter as tags *
AXFR, transferência de zona & root-servers

EDITAR (aqui está a pista):
Eu estava saindo das linhas de log como

20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied

então

dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa.
192.in-addr.arpa.       86400   IN      NS      y.arin.net.
[...]

dig +noall +answer +authority -x 192.134.4.83 @y.arin.net.
134.192.in-addr.arpa.   172800  IN      NS      ns3.nic.fr.
[...]

dig +noall +answer -x 192.134.4.83 @ns3.nic.fr.
83.4.134.192.in-addr.arpa. 172800 IN    PTR     zonemaster.rd.nic.fr.

dig +noall +authority SOA zonemaster.rd.nic.fr. @ns3.nic.fr.
rd.nic.fr.              3600    IN      SOA     ns2.rd.nic.fr. hostmaster.nic.fr. 2015111706 21600 3600 3600000 3600

E bem…
 Eu fiz naquelas datas jogar com verificadores de DNS online, incluindo zonemaster.fr do TLD francês. Muito detalhado, a propósito.

Portanto, a solicitação do AXFR era apenas parte dos testes que eles executam. : -)

Meu erro.
Obrigado pelas suas respostas.

    
por ondelettes 31.01.2016 / 23:19

2 respostas

1

Na maior parte, embora eu concorde com o sentimento de não confiar nos peixes grandes para sempre gerenciar suas configurações. Já que realmente não há lucro (direto) disponível na execução do DNS (vamos ignorar o OpenDNS / Google, etc.). Eu sempre acreditei que os servidores de domínio raiz são muito provavelmente executados por caras DNS muito nerd que são muito adeptos do que fazem. Simplesmente porque seria tão catastrófico para a internet se esses servidores fossem mal gerenciados. Eu acho que geralmente você pode confiar no material da rede central, porque o gerenciamento é mantido longe disso!

Dizendo isso, não há razão para que um servidor de zona raiz solicite um AXFR de um servidor autoritativo de um domínio. Estas são máquinas muito ocupadas (clusters) imaginando a tensão adicional que requer aleatoriamente transferências de zona. Simplesmente não há razão lógica para que isso aconteça. Por isso, tenho quase certeza de que isso é algum tipo de ataque.

Os únicos servidores que precisam de acesso AXFR são os servidores de zona secundária, tudo o mais pode usar os protocolos DNS padrão, como eles devem!

    
por 01.02.2016 / 00:38
1

Bem, na verdade ...

Concebivelmente pode ser que pelo menos um servidor de nomes de raiz (digamos, por causa do argumento, que seria chamado L) é na verdade um conjunto de centenas de servidores distribuídos por todo o mundo. E pode ser que algumas entidades estejam interessadas em testar as configurações de zonas DNS e que essa entidade possa ter acesso a esse conjunto de máquinas. Seria conveniente usar essas máquinas para executar testes, pois isso forneceria informações sobre como as coisas funcionam em vários lugares diferentes. E, também, um dos testes pode ser enviar uma consulta AXFR para não obter a informação, mas para ver se ela será permitida ou negada.

Ou então eu poderia ter ouvido.

    
por 01.02.2016 / 09:00