Почему университет блокирует входящий трафик UDP с портом назначения 53?

20

Насколько я понимаю, DNS использует UDP и порт 53. Что может произойти, если входящие пакеты UDP на порт 53 не были заблокированы?

ОБНОВЛЕНИЕ: Пакеты отправляются или предназначены для локального DNS-сервера, управляемого университетом, или для авторизованного DNS-сервера, управляемого университетом.

domain-name-system security udp Даниэль Кобе
источник
19
Why would a university block incoming UDP traffic with destination port 53?- Почему бы не они? Или, другими словами, почему они разрешают входящему трафику UDP (или TCP) с портом назначения 53 проходить через входящий сетевой / брандмауэр, кроме как для доступа к официальным серверам имен для имен общего домена, если эти серверы имен были размещены во внутренней сети университета?
Joeqwerty
2
Весь входящий трафик UDP для порта 53 заблокирован, кроме как на собственные DNS-серверы университета? Это звучит подозрительно, как попытка использования DNS для цензуры для меня. Хотя это не будет работать на любой системе, о которой я могу подумать, поскольку клиенты будут просто пытаться использовать TCP, когда UDP-запросы не возвращаются. Если вы не забыли упомянуть, что они также отбрасывают TCP-трафик для порта 53.
Blacklight Shining
5
Как правило, системный администратор никогда не спрашивает себя «есть ли веская причина, почему я должен блокировать этот порт». Обычно у них все порты по умолчанию заблокированы в брандмауэре, и они задаются вопросом «есть ли очень веская причина, почему я должен открыть этот порт».
Федерико Полони,
DNS не использует только UDP, он также использует TCP. если вы разрешаете UDP-трафик, вы должны разрешить и TCP, иначе все будет сломано (и наоборот, если вы отбросите UDP, тоже отбросьте TCP).
Эдхелдил,
2
@FedericoPoloni Только не притворяйтесь, что вы предоставляете «доступ в Интернет», если вы это делаете, потому что это не так.
Дэвид Шварц

Ответы:

40

Логика работает так:

  1. Только авторитетные DNS-серверы, предоставляющие записи в Интернет, должны быть доступны.
  2. Открытые рекурсивные серверы, открытые для интернета, неизбежно будут обнаружены при сканировании сети и злоупотребления. (См. Ответ пользователя 1700494)
  3. Вероятность того, что кто-то случайно вставит на открытый рекурсивный сервер, выше, чем вероятность того, что открытый DNS-сервер будет открыт. Это связано с тем, что многие устройства и конфигурации «из коробки» по умолчанию разрешают неограниченную рекурсию. Авторитетные конфигурации гораздо более индивидуальны и встречаются нечасто.
  4. Учитывая 1-3, отбрасывание всего незапрошенного входящего трафика с портом назначения 53 защищает сеть. В редких случаях, когда в сеть необходимо добавить еще один авторитетный DNS-сервер (запланированное событие), исключения могут быть определены по мере необходимости.
Андрей Б
источник
24

Например, злоумышленники могут использовать университетский DNS-сервер в качестве транзитного хоста для усиления DNS-атаки DDoS

user1700494
источник
В размещенной вами ссылке в разделе «Усиление DNS» упоминается, как можно использовать запрос на копирование, чтобы получить ответ, в 50 раз превышающий запрос. Но если входящий трафик UDP через порт 53 заблокирован, почему я все равно могу сделать запрос на поиск адреса университета.
Даниэль Кобе
1
@DanielKobe DNS-зона, владеющая рассматриваемой записью хоста, не обязательно существует только на DNS-сервере, на который вы в настоящее время не можете отправлять пакеты UDP / 53. Это также может указывать на настройку DNS с разделением горизонта.
Матиас Р. Джессен,
11

Эндрю Б ответил отлично. Что он сказал.

Чтобы ответить на вопрос «Что может произойти, если входящие UDP-пакеты на порт 53 не были заблокированы?» более конкретно, я погуглил «DNS-атаки» и получил эту удобную статью . Перефразировать:

  1. DoS-атака с распределенным отражением
  2. Тайное отравление
  3. TCP SYN флудит
  4. DNS туннелирование
  5. Перехват DNS
  6. Базовая атака NXDOMAIN
  7. Атака фантомного домена
  8. Случайная атака на поддомен
  9. Атака блокировки домена
  10. Атаки на основе ботнетов с устройств CPE

Это не исчерпывающий список возможных атак на основе DNS, всего лишь десять, которые статья нашла достаточно примечательными для упоминания.

На самом деле, короткий ответ: «Если вам не нужно это разоблачать, не надо».

Кэтрин Вилляр
источник
3
"If you don't have to expose it, don't."что верно для многих вещей в жизни.
user9517 поддерживает GoFundMonica
3

Они его блокируют, потому что могут и это разумная политика безопасности.

Проблема часто более серьезна, чем наличие потенциальных открытых распознавателей - в конце дня не имеет значения настройка DNS-серверов безопасным образом, не будучи открытыми распознавателями, с мерами защиты от DDOS, когда любой сервер или машина с службой DNS установлена ​​по ошибке Выполнение запросов пересылки DNS на основной DNS-сервер позволит любому злоумышленнику обойти ограничения трафика и ограничения безопасности, установленные на ваших DNS-серверах.

Запросы также будут поступать из внутренней инфраструктуры и могут содержать внутренние DNS-имена и нежелательные детали внутренней организации / сети / IP-адресации.

Кроме того, согласно правилам безопасности сети, чем меньше сервисов и сервисов вы предоставляете извне, тем меньше вероятность того, что они будут скомпрометированы и использованы в качестве точки входа для усиления атаки на вашу инфраструктуру изнутри.

Руи Ф Рибейро
источник
2

Обычно, когда речь идет о UDP-трафике, вы хотите ограничиться, потому что:

а) По сравнению с TCP фильтру пакетов сложнее надежно определить, является ли входящий пакет ответом на запрос изнутри сети ... или незапрошенным запросом. Обеспечение роли клиента / сервера через межсетевой экран с фильтрацией пакетов становится все труднее.

b) Любой процесс, который связывается с портом UDP на сервере или клиентском компьютере, даже если он связывается только с этим портом, потому что он хочет сделать запрос сам, будет также подвергаться нежелательным пакетам, что делает безопасность системы зависимой от отсутствия дефекты в процессе, которые позволили бы эксплуатировать или спутать его. В прошлом были такие проблемы, например, с NTP-клиентами. При использовании TCP-клиента незапрошенные данные, отправляемые этому клиенту, в большинстве случаев будут удаляться операционной системой.

c) Если вы используете NAT, интенсивный трафик UDP может создать большую нагрузку для оборудования NATing по тем же причинам, что и в)

rackandboneman
источник
0

Существуют инструменты, которые создают VPN-туннель с использованием протокола и порта DNS.

йод является одним из них. Это позволяет обойти брандмауэры, полностью туннелируя трафик через сервер, на котором работает это программное обеспечение. Как говорится в описании, он использует протокол DNS.

Этот и подобные инструменты могут быть причиной этого ограничения.

Gerhard
источник
2
Вы можете туннель IP через довольно много любой из распространенных протоколов приложений, не говоря уже о TLS, так что это вряд ли хорошая причина падения трафика. Кроме того, вы могли бы подумать, что схема IP-over-DNS будет связываться с эфемерным портом на стороне клиента (как это делают обычные клиенты DNS), а не с портом 53.
Blacklight Shining