Windows 7: “a resolução de nomes de host local é tratada no próprio DNS”. Por quê?

44

Após 18 anos de arquivos de hosts no Windows, fiquei surpreso ao ver isso no Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Alguém sabe por que essa mudança foi introduzida? Tenho certeza de que deve haver algum tipo de raciocínio.

E, talvez mais relevante, existem outras alterações importantes relacionadas ao DNS no Windows 7? Me assusta um pouco pensar que algo tão fundamental quanto a resolução de nomes do host local mudou ... me faz pensar que há outras mudanças sutis, mas importantes, na pilha de DNS no Win7.

domain-name-system windows-7 Portman
fonte
Adicionado recompensa. A especulação sobre segurança é boa (e quase certamente correta), mas espero que a recompensa atraia alguém que tenha estudado as alterações de DNS do Win7 em detalhes.
1211 Portman
Alguém pode explicar como isso está relacionado a esse outro problema stackoverflow.com/questions/1416128/… e qual é a verdadeira correção? Acho que vou descomentar a entrada localhost ipv4 no meu arquivo host por enquanto.
precisa

Respostas:

29

Verifiquei com um desenvolvedor da equipe do Windows, e a resposta real é muito mais inócua do que as outras respostas deste post :)

Em algum momento no futuro, à medida que o mundo passar do IPV4 para o IPV6, o IPV4 será desativado / desinstalado por empresas que desejam simplificar o gerenciamento de rede em seus ambientes.

Com o Windows Vista, quando o IPv4 foi desinstalado e o IPv6 ativado, uma consulta DNS para um endereço A (IPv4) resultou no loopback do IPv4 (proveniente do arquivo hosts). Obviamente, isso causou problemas quando o IPv4 não foi instalado. A correção foi mover as sempre presentes entradas de loopback IPv4 e IPv6 do host para o resolvedor DNS, onde elas poderiam ser desabilitadas independentemente.

-Sean

Sean Earp
fonte
1
se você tem um link direto para a equipe do Windows, você pode agradar a levá-los para se certificar de NSEC3 é suportado? A validação de DNSSEC sem NSEC3 será inútil! Eu sei para um fato que .com usará NSEC3 quando é assinado em meados de 2011.
Alnitak
(no resolvedor de stub de validação, ou seja).
Alnitak
9 1/2 anos mais tarde e ainda usando IPv4 :)
Christian
7

O Windows 7 apresenta suporte (opcional) para validação de DNSSEC . Os controles podem ser encontrados em "Política de resolução de nomes" no plug-in "Política de grupo local" ( c:\windows\system32\gpedit.msc)

Infelizmente, ele não suporta (AFAIK) registros RFC 5155 NSEC3 , que muitos operadores de zona grande (inclusive .com) usarão quando entrarem em operação com DNSSEC nos próximos dois anos.

Alnitak
fonte
Segundo uma relação com a implementação do DNSSEC: news.softpedia.com/news/… .
Aharden 13/05/09
5

Dado que mais e mais aplicativos no Windows estão usando o IP para se comunicar, provavelmente incluindo vários serviços do Windows. Pude ver alguém alterando o host local para apontar para outro lugar como um vetor de ataque interessante. Meu palpite é que foi alterado como parte do SDL da Microsoft .

WaldenL
fonte
3

Percebo que isso também é uma tentativa de reforçar a segurança deles. Ao "consertar" o host local para sempre apontar para o loopback, eles podem evitar ataques de envenenamento de DNS, que começam a aparecer na natureza.

Eu concordo, porém, é um pouco perturbador em alguns níveis ...

Avery Payne
fonte
2

Gostaria de saber se é possível redefinir o host local no próprio DNS. O uso de arquivos de texto não criptografado para gerenciar essas configurações nunca poderia ser considerado uma prática recomendada de segurança. Parece-me que as novas medidas de segurança da Microsoft vão além da prevenção do acesso root e investiga mais profundamente as vulnerabilidades sutis. Não sei ao certo quanto se pode ficar um passo à frente dos chapéus pretos motivados, independentemente.

EnocNRoll - Ananda Gopal
fonte
1
localhost é apenas mais um registro A na sua zona, é apenas a convenção que aponta para 127.0.0.1. Portanto, sim, você pode apontar localhost para o que quiser e, se um invasor puder controlar o servidor DNS, ele poderá alterar esse registro para toda a rede de computadores W7, em vez de apenas um com um arquivo de hosts. É um problema notório para os servidores raiz DNS que as pessoas não incluem um localhost Um registro em sua zona, de modo que o pedido é enviado para o root: bit.ly/ybu1a
Cawflands
2

Eu acho que tem algo a ver com a Microsoft implementando a RFC 3484 para a seleção de endereços IP de destino. Esse é um recurso do IPv6 portado para o IPv4 e afeta o Vista / Server 2008 e superior. Essa alteração interrompe o DNS de rodízio, portanto, mesmo que isso não responda à sua pergunta, é definitivamente uma mudança importante no DNS.

Mais informações no blog Microsoft Enterprise Networking .

duffbeer703
fonte
+1 para o link do blog de rede; Eu não tinha visto isso antes.
Portman