Por que uma universidade bloquearia o tráfego UDP de entrada com a porta de destino 53?

20

Pelo que entendi, o DNS usa o UDP e a porta 53. Que coisas indesejáveis ​​poderiam acontecer se os pacotes UDP de entrada na porta número 53 não fossem bloqueados?

ATUALIZAÇÃO: Pacotes originam ou são destinados ao servidor DNS local operado pela universidade ou servidor DNS autoritativo operado pela universidade seria permitido.

domain-name-system security udp Daniel Kobe
fonte
19
Why would a university block incoming UDP traffic with destination port 53?- Por que eles não? Ou, de outra forma: por que eles permitiriam que o tráfego UDP (ou TCP) de entrada com uma porta de destino 53 transitasse a entrada de rede / firewall, exceto para chegar aos servidores de nomes com autoridade para o (s) nome (s) de domínio público, se esses servidores de nome fossem hospedado na rede universitária interna?
Joeqwerty
2
Todo o tráfego UDP de entrada da porta 53 está bloqueado, exceto para os servidores DNS da universidade? Parece suspeito como uma tentativa de usar o DNS para me censurar. Embora não funcione em nenhum sistema em que eu possa pensar, já que os clientes apenas tentarão o TCP quando as solicitações UDP não voltarem. A menos que você se esqueceu de mencionar que eles também queda de tráfego TCP para a porta 53.
Blacklight Brilhante
5
Como prática geral, um administrador de sistema nunca se pergunta "há uma boa razão para eu bloquear esta porta". Normalmente, eles têm todas as portas bloqueadas por padrão no seu firewall, e se perguntam "há uma muito boa razão para que eu deveria abrir esta porta".
Federico Poloni 11/02
O DNS não usa apenas UDP, ele também usa TCP. se você permitir o tráfego UDP, deverá permitir o TCP também, ou as coisas irão quebrar (e vice-versa, se você soltar o UDP, solte o TCP também).
Edheldil
2
@FedericoPoloni Apenas não finja que você está fornecendo "acesso à Internet" se você fizer isso, porque não está.
David Schwartz

Respostas:

40

A lógica funciona assim:

  1. Somente servidores DNS autoritativos que fornecem registros para a Internet precisam ser expostos.
  2. Servidores recursivos abertos expostos à Internet serão inevitavelmente encontrados por varreduras de rede e abusados. (Veja a resposta de user1700494)
  3. A probabilidade de alguém se levantar acidentalmente de um servidor recursivo exposto é maior do que a de um servidor DNS autorizado exposto. Isso ocorre porque muitos dispositivos e configurações "prontas para uso" são padrão para permitir recursões irrestritas. As configurações autorizadas são muito mais personalizadas e raramente encontradas.
  4. Dado 1-3, a eliminação de todo o tráfego de entrada não solicitado com uma porta de destino 53 protege a rede. No caso raro de outro servidor DNS autoritativo precisar ser adicionado à rede (um evento planejado), as exceções podem ser definidas conforme a necessidade.
Andrew B
fonte
24

Por exemplo, os invasores podem usar o servidor DNS da universidade como host de trânsito para o ataque de DDoS de amplificação de DNS

user1700494
fonte
No link que você postou, sob amplificação de DNS, ele menciona como você pode usar uma consulta de dig para receber uma resposta 50x maior que a consulta. Mas se o tráfego UDP de entrada na porta 53 estiver bloqueado, como é que eu ainda posso fazer uma consulta de digitação para um endereço de universidade.
Daniel Kobe
11
@DanielKobe A zona DNS que possui o registro do host em questão não deve existir apenas no servidor DNS para o qual você não pode enviar pacotes UDP / 53 no momento. Também pode ser uma indicação de uma configuração de DNS com horizonte dividido.
Mathias R. Jessen
11

A resposta de Andrew B é excelente. O que ele disse.

Para responder à pergunta "Que coisas indesejáveis ​​poderiam acontecer se os pacotes UDP de entrada na porta número 53 não estivessem bloqueados?" Mais especificamente, pesquisei no Google sobre "ataques baseados em DNS" e obtive este artigo útil . Parafrasear:

  1. Ataque distribuído de DoS de reflexão
  2. Envenenamento por cache
  3. Inundações TCP SYN
  4. Encapsulamento DNS
  5. Seqüestro de DNS
  6. Ataque básico ao NXDOMAIN
  7. Ataque de domínio fantasma
  8. Ataque aleatório de subdomínio
  9. Ataque de bloqueio de domínio
  10. Ataques baseados em botnet de dispositivos CPE

Essa não é uma lista conclusiva de possíveis ataques baseados em DNS, apenas dez que um artigo achou digno de nota o suficiente para mencionar.

Realmente, a resposta curta é "Se você não precisa expô-lo, não".

Katherine Villyard
fonte
3
"If you don't have to expose it, don't."o que é verdade para muitas coisas na vida.
user9517 suporta GoFundMonica
3

Eles estão bloqueando, porque podem e é uma política de segurança sensata.

O problema geralmente é mais sério do que ter possíveis resolvedores abertos - no final do dia, não importa configurar servidores DNS com segurança, sem serem resolvedores abertos, com medidas anti-DDOS quando qualquer servidor ou máquina com um serviço DNS instalado por engano , e fazer solicitações de encaminhamento de DNS ao servidor DNS principal permitirá que qualquer invasor ignore as restrições de limitação de tráfego e segurança implementadas nos servidores DNS.

As solicitações também parecerão vir da infra-estrutura interna e podem expor nomes internos do DNS e detalhes indesejados da organização interna / rede / endereçamento IP.

Além disso, de acordo com as regras de segurança de rede, quanto menor o número de serviços e serviços expostos para o exterior, menor a probabilidade de eles serem comprometidos e usados ​​como ponto de entrada para alavancar um ataque à sua infra-estrutura a partir do interior.

Rui F Ribeiro
fonte
2

Geralmente, quando se trata de tráfego UDP, você quer ser restritivo porque:

a) Comparado ao TCP, é mais difícil para um filtro de pacotes determinar com segurança se um pacote recebido é uma resposta a uma solicitação de dentro da rede ... ou uma solicitação não solicitada. A imposição de funções de cliente / servidor por meio de um firewall de filtragem de pacotes fica mais difícil.

b) Qualquer processo que se ligue a uma porta UDP em um servidor ou computador cliente, mesmo que apenas se ligue a essa porta porque deseja fazer uma solicitação, também será exposto a pacotes não solicitados, tornando a segurança do sistema dependente de não haver defeitos no processo que permitiriam explorá-lo ou confundi-lo. Houve esses problemas com, por exemplo, clientes NTP no passado. Com um cliente TCP, os dados não solicitados enviados a esse cliente serão, na maioria dos casos, descartados pelo sistema operacional.

c) Se você estiver executando o NAT, o tráfego UDP pesado poderá criar muita carga de trabalho para o equipamento de NATing por motivos semelhantes aos de a)

rackandboneman
fonte
0

Existem ferramentas que criam túnel VPN usando o protocolo e a porta DNS.

o iodo é um deles. Ele permite ignorar firewalls, encapsulando o tráfego completamente através de um servidor executando este software. Como a descrição indica, ele usa o protocolo DNS.

Esta e outras ferramentas semelhantes podem ser a razão dessa limitação.

Gerhard
fonte
2
Você pode encapsular o IP sobre praticamente qualquer um dos protocolos de aplicativos comuns, sem mencionar o TLS, portanto, esse é um bom motivo para diminuir o tráfego. Além disso, você pensaria um esquema de IP-over-DNS iria ligar a um client-side porta efêmera (como os clientes DNS regulares fazer), em vez de porta 53.
Blacklight Brilhante