Segurança das transferências de zona para bind

Question

Segurança das transferências de zona para bind

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Ao ter dois servidores DNS públicos que fornecem registros NS, A, MX e CNAME para seu domínio (site), é necessário criptografar os dados de transferência de zona ou não há problema em mandar o mestre-para-escravo enviado em claro através da rede?

Estou usando o bind9 no Debian 8.

dns security bind

por debuser14 02.09.2015 / 07:20

3 respostas

Tags dns security bind

Instalando o .NET no RedHat Para corrigir o problema do “Sistema de arquivos somente leitura” quando o acesso SSH à câmera IP

score 0 · Answer 1

Todas as conversas na internet devem ser privadas. DNS deve ser sempre privado, roda a internet, sem registros DNS limpos, não poderíamos confiar em redes.

Se um ataque MITM ocorreu entre mestre e escravo e eles modificaram registros no escravo, eles precisam apenas de DOS servidor primário e o escravo começará a servir registros incorretos

Leia este belo artigo

score 0 · Answer 2

Não há perigo prático em enviar zonas em texto simples, a menos que:

Uma zona contém registros que não devem ser expostos aos olhos dos espectadores (ex .: na sua zona "exemplo.net" há um registro "hiddenstuff.example.net" para ser usado apenas por poucas pessoas). / li>
Há algumas preocupações especiais de segurança sobre as redes envolvidas (ex .: a transferência passa por uma rede Ethernet com usuários inadimplentes).

score 0 · Answer 3

Você provavelmente não está perseguindo o problema correto, mas não fornece contexto suficiente para realmente ajudá-lo a colocar as coisas em perspectiva.

Você pode proteger a transmissão de arquivos de zona entre diferentes hosts, de várias maneiras. Primeiro, o mestre pode restringir as consultas AXFR / IXFR para que cheguem apenas de seus escravos e os escravos podem restringir as consultas de NOTIFY (os escravos puxam os dados do mestre, portanto, é o iniciador). Para uma autenticação mais strong, você tem o TSIG. Veja isto para Bind9: ftp://ftp.isc.org /isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch04.html#tsig

Também hoje em dia muitos consteladores de servidores de nomes são configurados a partir de uma única fonte e / ou provisionados out-of-band. Por exemplo, o conteúdo pode estar em um banco de dados, gerado em algum lugar e depois distribuído usando rsync ou equivalente a todos os servidores de nomes. Não há mensagens DNS entre os servidores de nomes para atualizá-los uns dos outros.

De uma maneira separada, você geralmente tem um mestre "oculto": um servidor de nomes no qual todas as alterações no arquivo de zona aparecem para alimentar todos os servidores de nomes públicos. Não há MITM possível lá já que você nem sabe que existe um mestre oculto e menos ainda onde está e seu IP (exceto se você já era capaz de obter o controle de um dos servidores de nomes, caso em que este é um problema completamente diferente ).

E como eu disse em outro comentário, agora você tem o DNSSEC. Se a sua zona estiver configurada corretamente com o DNSSEC, mesmo que alguém consiga alterar seu conteúdo no servidor de nomes ou em trânsito, qualquer servidor de nomes recursivo de validação detectará a alteração, pois a nova resposta não será assinada ou assinada incorretamente. / p>