Frage Warum würde eine Universität eingehenden UDP-Verkehr mit dem Zielport 53 blockieren?


Aus meiner Sicht verwendet DNS UDP und Port 53. Welche unerwünschten Dinge könnten passieren, wenn eingehende UDP-Pakete an Portnummer 53 nicht blockiert werden?

UPDATE: Pakete, die von dem universitätsbetriebenen lokalen DNS-Server stammen oder an diesen gerichtet sind, oder ein von der Universität betriebener autoritativer DNS-Server wären erlaubt.


20
2018-02-10 18:02


Ursprung


Why would a university block incoming UDP traffic with destination port 53? - Warum sollten sie nicht? Oder anders ausgedrückt: Warum würden sie eingehenden UDP- (oder TCP-) Datenverkehr mit einem Zielport von 53 zulassen, um das eingehende Netzwerk / Firewall zu passieren, außer um zu den autoritativen Nameservern für die öffentlichen Domänennamen zu gelangen, wenn diese Nameserver wären im internen Hochschulnetzwerk gehostet? - joeqwerty
Der gesamte eingehende UDP-Verkehr für Port 53 ist blockiert, außer für die eigenen DNS-Server der Universität. Das klingt verdächtig nach einem Versuch DNS zur Zensur zu benutzen. Wenn auch eines, das auf keinem System funktioniert, das ich mir vorstellen kann, da Clients TCP nur ausprobieren werden, wenn die UDP-Anfragen nicht zurückkommen. Es sei denn, Sie haben vergessen zu erwähnen, dass sie auch den TCP-Verkehr für Port 53 löschen. - Blacklight Shining
In der Regel stellt sich ein Systemadministrator nie die Frage "Gibt es einen guten Grund, warum ich diesen Port blockieren sollte?". In der Regel haben sie alle Ports standardmäßig in ihrer Firewall blockiert, und sie fragen sich: "Gibt es a sehr guter Grund, warum ich diesen Hafen öffnen sollte ". - Federico Poloni
DNS verwendet nicht nur UDP, sondern auch TCP. Wenn Sie UDP-Datenverkehr zulassen, sollten Sie auch TCP zulassen, sonst werden die Dinge unterbrochen (und umgekehrt, wenn Sie UDP löschen, auch TCP löschen). - Edheldil
@FedericoPoloni Gib nicht vor, dass du "Internet-Zugang" zur Verfügung stellst, wenn du das tust, weil du es nicht bist. - David Schwartz


Antworten:


Die Logik funktioniert so:

  1. Nur autoritative DNS-Server, die Datensätze im Internet bereitstellen, sind erforderlich herausgestellt werden.
  2. Offene rekursive Server, die dem Internet ausgesetzt sind, werden unweigerlich durch Netzwerk-Scans gefunden und missbraucht. (Siehe die Antwort von user1700494)
  3. Die Wahrscheinlichkeit, dass jemand versehentlich einen exponierten rekursiven Server aufstellt, ist größer als die Wahrscheinlichkeit eines exponierten autorisierenden DNS-Servers. Dies liegt daran, dass viele Appliances und "out of the box" -Konfigurationen standardmäßig so konfiguriert sind, dass eine uneingeschränkte Rekursion möglich ist. Autorisierende Konfigurationen sind viel individueller und selten anzutreffen.
  4. Bei den Werten 1 bis 3 schützt das Löschen des gesamten unerwünschten eingehenden Datenverkehrs mit einem Zielport von 53 das Netzwerk. In dem seltenen Fall, dass ein anderer autoritativer DNS-Server zum Netzwerk hinzugefügt werden muss (ein geplantes Ereignis), können Ausnahmen bei Bedarf definiert werden.

40
2018-02-10 18:24





Zum Beispiel könnten Angreifer den DNS-Server der Universität als Transit-Host für verwenden DNS-Amplifikations-DDoS-Angriff


24
2018-02-10 18:09



In dem Link, den Sie gepostet haben, wird unter dns-Amplifikation erwähnt, wie Sie eine dig-Abfrage verwenden können, um eine Antwort zu erhalten, die 50x größer als die Abfrage ist. Aber wenn der eingehende UDP-Verkehr an Port 53 blockiert ist, kann ich immer noch eine Dig-Anfrage an eine Adresse der Universität stellen. - Daniel Kobe
@DanielKobe Die DNS-Zone, die den betreffenden Host-Datensatz besitzt, ist nicht daran gebunden nurauf dem DNS-Server vorhanden, an den Sie derzeit keine UDP / 53-Pakete senden können. Es könnte auch ein Hinweis auf ein Split-Horizon-DNS-Setup sein. - Mathias R. Jessen


Andrew Bs Antwort ist ausgezeichnet. Was er sagte.

Um die Frage zu beantworten "Welche unerwünschten Dinge könnten passieren, wenn eingehende UDP-Pakete an Portnummer 53 nicht blockiert werden?" Genauer gesagt googelte ich "DNS-basierte Angriffe" und bekam Dieser handliche Artikel. Umschreiben:

  1. Distributed Reflection DoS-Angriff
  2. Cache-Vergiftung
  3. TCP SYN flutet
  4. DNS-Tunneling
  5. DNS-Hijacking
  6. Grundlegender NXDOMAIN-Angriff
  7. Phantom-Domain-Angriff
  8. Zufälliger Subdomain-Angriff
  9. Domain-Lock-up-Angriff
  10. Botnet-basierte Angriffe von CPE-Geräten

Das ist keine schlüssige Liste möglicher DNS-basierter Angriffe, nur zehn, die ein Artikel bemerkenswert genug fand, um sie zu erwähnen.

Wirklich, die kurze Antwort lautet: "Wenn du es nicht tust haben um es zu entlarven, nicht. "


11
2018-02-10 19:48



"If you don't have to expose it, don't." Das gilt für viele Dinge im Leben. - Iain


Sie blockieren es, weil sie es können und es ist eine vernünftige Sicherheitspolitik.

Das Problem ist oft ernster als potenzielle offene Resolver - am Ende des Tages spielt es keine Rolle, DNS-Server sicher einzurichten, ohne offene Resolver zu sein, mit Anti-DDOS-Maßnahmen, wenn irrtümlicherweise ein Server oder eine Maschine mit einem DNS-Dienst installiert wurde Wenn DNS-Weiterleitungsanforderungen an den Haupt-DNS-Server weitergeleitet werden, kann jeder Angreifer die auf Ihren DNS-Servern implementierten Beschränkungen für die Datenverkehrsbeschränkung und -sicherheit umgehen.

Die Anfragen scheinen auch von der internen Infrastruktur zu stammen und können DNS-interne Namen und unerwünschte Details der internen Organisation / Netzwerk- / IP-Adressierung offen legen.

Gemäß den Netzwerksicherheitsregeln gilt auch: Je weniger Services und Dienste Sie nach außen bereitstellen, desto geringer ist die Wahrscheinlichkeit, dass diese gefährdet sind und als Angriffspunkt für einen Angriff auf Ihre Infrastruktur von innen genutzt wird.


3
2018-02-11 13:49





Wenn es um UDP-Datenverkehr geht, möchten Sie normalerweise restriktiv sein, weil:

a) Im Vergleich zu TCP ist es für einen Paketfilter schwieriger, zuverlässig zu bestimmen, ob ein eingehendes Paket eine Antwort auf eine Anfrage von innerhalb des Netzwerks ... oder eine unaufgeforderte Anfrage ist. Die Durchsetzung von Client / Server-Rollen über eine Paketfilter-Firewall wird somit schwieriger.

b) Jeder Prozess, der an einen UDP-Port auf einem Server oder Client-Computer bindet, selbst wenn er nur an diesen Port bindet, weil er selbst eine Anfrage stellen möchte, wird auch unerwünschten Paketen ausgesetzt, was die System-Sicherheit davon abhängig macht, dass es keine gibt Defekte im Prozess, die es erlauben oder ausnutzen könnten. Es gab solche Probleme mit zB NTP-Clients in der Vergangenheit. Bei einem TCP-Client werden die an diesen Client gesendeten unaufgeforderten Daten in den meisten Fällen vom Betriebssystem verworfen.

c) Wenn Sie NAT betreiben, kann starker UDP-Verkehr eine große Arbeitsbelastung für die NATing-Ausrüstung verursachen, aus ähnlichen Gründen wie in a)


2
2018-02-11 22:47





Es gibt Tools, die VPN-Tunnel mithilfe des DNS-Protokolls und des Ports erstellen.

Jod Ist einer von ihnen. Es ermöglicht die Umgehung von Firewalls, indem der Datenverkehr vollständig durch einen Server geleitet wird, auf dem diese Software ausgeführt wird. Wie in der Beschreibung angegeben, verwendet es das DNS-Protokoll.

Dieses und ähnliche Tools könnten der Grund für diese Einschränkung sein.


0
2018-02-12 05:33



Sie können IP ziemlich viel tunneln irgendein von den üblichen Anwendungsprotokollen, ganz zu schweigen von TLS, das ist also kaum ein guter Grund, den Verkehr zu reduzieren. Außerdem würden Sie denken, dass ein IP-over-DNS-Schema an eine ephemere Port-Client-Seite (wie normale DNS-Clients) binden würde, statt an Port 53. - Blacklight Shining