Windows 7: "Die Auflösung des lokalen Hostnamens wird im DNS selbst vorgenommen". Warum?

44

Nach 18 Jahren Hosts-Dateien unter Windows war ich überrascht, dies in Windows 7 Build 7100 zu sehen:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Weiß jemand, warum diese Änderung eingeführt wurde? Ich bin sicher, dass es eine Art Begründung geben muss.

Und, vielleicht relevanter, gibt es noch andere wichtige DNS-bezogene Änderungen in Windows 7? Es macht mir ein bisschen Angst zu glauben, dass sich etwas so Grundlegendes wie die Namensauflösung von localhost geändert hat ... lässt mich glauben, dass es weitere subtile, aber wichtige Änderungen am DNS-Stack in Win7 gibt.

Portman
quelle
Kopfgeld hinzugefügt. Die Spekulationen über Sicherheit sind gut (und mit ziemlicher Sicherheit richtig), aber ich hoffe, dass die Bounty jemanden anzieht, der die DNS-Änderungen in Win7 im Detail untersucht hat.
Portman
Kann jemand erklären, wie dies mit diesem anderen Problem zusammenhängt stackoverflow.com/questions/1416128/… und was die wahre Lösung ist? Ich denke, ich werde den ipv4 localhost-Eintrag in meiner Host-Datei erstmal auskommentieren.
Tyndall

Antworten:

29

Ich habe bei einem Entwickler im Windows-Team nachgefragt, und die tatsächliche Antwort ist weitaus harmloser als die anderen Antworten auf diesen Beitrag :)

Irgendwann in der Zukunft, wenn die Welt von IPV4 auf IPV6 übergeht, wird IPV4 möglicherweise von Unternehmen deaktiviert / deinstalliert, die die Netzwerkverwaltung in ihren Umgebungen vereinfachen möchten.

Unter Windows Vista führte eine DNS-Abfrage nach einer A-Adresse (IPv4) bei der Deinstallation von IPv4 und der Aktivierung von IPv6 zu einem IPv4-Loopback (der aus der Hostdatei stammt). Dies verursachte natürlich Probleme, wenn IPv4 nicht installiert war. Der Fix bestand darin, die immer vorhandenen IPv4- und IPv6-Loopback-Einträge vom Host in den DNS-Resolver zu verschieben, wo sie unabhängig voneinander deaktiviert werden konnten.

-Sean

Sean Earp
quelle
1
Wenn Sie einen direkten Link zum Windows-Team haben, können Sie diese bitten , um sicherzustellen, dass NSEC3 unterstützt wird? DNSSEC-Validierung ohne NSEC3 wird nutzlos sein! Ich weiß, dass .com NSEC3 verwenden wird, wenn es irgendwann im Jahr 2011 unterzeichnet wird.
Alnitak,
(im validierenden Stub-Resolver also).
Alnitak,
9 1/2 Jahre später und immer noch mit IPv4 :)
Christian
7

Windows 7 bietet (optionale) Unterstützung für die DNSSEC- Validierung. Die Steuerelemente finden Sie unter "Namensauflösungsrichtlinie" im Plugin "Lokale Gruppenrichtlinie" ( c:\windows\system32\gpedit.msc).

Leider unterstützt AFAIK keine RFC 5155-NSEC3 Datensätze, die viele große Zonenbetreiber (einschließlich .com) verwenden, wenn sie in den nächsten Jahren mit DNSSEC live gehen.

Alnitak
quelle
Ich beziehe mich auf die DNSSEC-Implementierung: news.softpedia.com/news/… .
Uhr
5

Angesichts der Tatsache, dass immer mehr Anwendungen unter Windows IP verwenden, um mit sich selbst zu kommunizieren, einschließlich einer Reihe von Windows-Diensten, könnte ich feststellen, dass jemand den localhost ändert, um auf einen anderen Ort als interessanten Angriffsvektor hinzuweisen. Ich vermute, es wurde als Teil von Microsoft SDL geändert .

WaldenL
quelle
3

Ich kann sehen, dass dies auch ein Versuch ist, ihre Sicherheit zu stützen. Indem localhost so "repariert" wird, dass es immer auf den Loopback verweist, können sie DNS-Vergiftungsangriffe vermeiden, die in der freien Natur auftreten.

Ich stimme jedoch zu, es ist auf einigen Ebenen etwas störend ...

Avery Payne
quelle
2

Ich wäre gespannt, ob man localhost in DNS selbst neu definieren kann. Die Verwendung von Klartextdateien zum Verwalten dieser Einstellungen hätte niemals als bewährte Sicherheitsmethode angesehen werden können. Die neuen Sicherheitsmaßnahmen von Microsoft gehen meines Erachtens über die Verhinderung des Root-Zugriffs hinaus und befassen sich eingehender mit nuancierten Sicherheitslücken. Ich bin mir nicht sicher, wie weit man motivierten schwarzen Hüten noch einen Schritt voraus sein kann.

EnocNRoll - Ananda Gopal
quelle
1
localhost ist nur ein weiterer A-Datensatz in Ihrer Zone. Es ist nur eine Konvention, die auf 127.0.0.1 verweist. Ja, Sie können localhost auf beliebige Elemente verweisen. Wenn ein Angreifer die Kontrolle über den DNS-Server erlangen kann, kann er diesen Eintrag für das gesamte Netzwerk von W7-Computern ändern und nicht nur für einen mit einer Hostdatei. Für die DNS- Stammserver
Cawflands
2

Ich denke, es hat etwas damit zu tun, dass Microsoft RFC 3484 für die Auswahl der Ziel-IP-Adresse implementiert. Dies ist eine IPv6-Funktion, die auf IPv4 zurückportiert ist und Vista / Server 2008 und höher betrifft. Diese Änderung bricht das Round-Robin-DNS. Auch wenn dies Ihre Frage nicht beantwortet, ist es definitiv eine wichtige DNS-Änderung, über die Sie Bescheid wissen müssen.

Weitere Informationen finden Sie im Microsoft Enterprise Networking- Blog.

duffbeer703
quelle
+1 für den Link zum Netzwerkblog; Das hatte ich noch nie gesehen.
Portman