Warum würde eine Universität eingehenden UDP-Verkehr mit Zielport 53 blockieren?

20

Nach meinem Verständnis verwendet DNS UDP und Port 53. Welche unerwünschten Dinge könnten passieren, wenn eingehende UDP-Pakete an Port 53 nicht blockiert würden?

UPDATE: Pakete stammen von oder sind für den von der Universität betriebenen lokalen DNS-Server bestimmt, oder ein von der Universität betriebener autorisierender DNS-Server ist zulässig.

domain-name-system security udp Daniel Kobe
quelle
19
Why would a university block incoming UDP traffic with destination port 53?- Warum sollten sie nicht? Oder anders ausgedrückt: Warum sollten sie eingehenden UDP- (oder TCP-) Verkehr mit einem Zielport von 53 zulassen, um das Netzwerk / die Firewall eingehend zu übertragen, außer um zu den autorisierenden Nameservern für die öffentlichen Domainnamen zu gelangen, wenn diese Nameserver vorhanden wären im internen Hochschulnetz gehostet?
Joeqwerty
2
Der gesamte eingehende UDP-Verkehr für Port 53 wird blockiert, mit Ausnahme der DNS-Server der Universität. Das klingt für mich verdächtig nach einem Versuch, DNS für die Zensur zu verwenden. Obwohl eines, das auf keinem System funktioniert, das mir einfällt, da Clients nur TCP ausprobieren, wenn die UDP-Anforderungen nicht zurückkommen. Es sei denn, Sie haben vergessen zu erwähnen, dass sie auch den TCP-Verkehr für Port 53
löschen
5
In der Regel fragt sich ein Systemadministrator niemals "Gibt es einen guten Grund, warum ich diesen Port sperren sollte". Normalerweise sind alle Ports in ihrer Firewall standardmäßig blockiert, und sie fragen sich, "gibt es einen sehr guten Grund, warum ich diesen Port öffnen sollte".
Federico Poloni
DNS verwendet nicht nur UDP, sondern auch TCP. Wenn Sie UDP-Verkehr zulassen, sollten Sie auch TCP zulassen, da sonst Probleme auftreten (und umgekehrt, wenn Sie UDP löschen, löschen Sie auch TCP).
Edheldil
2
@FedericoPoloni Tun Sie in diesem Fall einfach nicht so, als würden Sie "Internetzugang" bereitstellen, weil dies nicht der Fall ist.
David Schwartz

Antworten:

40

Die Logik funktioniert folgendermaßen:

  1. Nur autoritativen DNS - Server , die Datensätze an das Internet zur Verfügung stellen ist erforderlich ausgesetzt werden.
  2. Offene rekursive Server, die dem Internet ausgesetzt sind, werden zwangsläufig von Netzwerk-Scans gefunden und missbraucht. (Siehe Antwort von user1700494)
  3. Die Wahrscheinlichkeit, dass jemand versehentlich einen freigelegten rekursiven Server hochfährt, ist höher als die eines freigelegten autorisierenden DNS-Servers. Dies liegt daran, dass viele Appliances und "Out-of-the-Box" -Konfigurationen standardmäßig eine uneingeschränkte Rekursion zulassen. Autorisierende Konfigurationen werden viel individueller und seltener angetroffen.
  4. Bei 1-3 schützt das Löschen des gesamten unerwünschten eingehenden Datenverkehrs mit einem Zielport von 53 das Netzwerk. In dem seltenen Fall, dass ein weiterer autorisierender DNS-Server zum Netzwerk hinzugefügt werden muss (geplantes Ereignis), können Ausnahmen nach Bedarf definiert werden.
Andrew B
quelle
24

Beispielsweise könnten Angreifer den DNS-Server der Universität als Transit-Host für den DNS Amplification DDoS Attack verwenden

user1700494
quelle
In dem Link, den Sie unter DNS-Verstärkung gepostet haben, wird erwähnt, wie Sie eine Dig-Abfrage verwenden können, um eine Antwort zu erhalten, die 50x größer als die Abfrage ist. Aber wenn eingehender UDP-Verkehr auf Port 53 blockiert ist, warum kann ich dann noch eine Dig-Anfrage an eine Universitätsadresse stellen?
Daniel Kobe
1
@DanielKobe Die DNS-Zone, der der betreffende Hosteintrag gehört, muss nicht nur auf dem DNS-Server vorhanden sein, an den Sie derzeit keine UDP / 53-Pakete senden können. Dies könnte auch ein Hinweis auf ein Split-Horizon-DNS-Setup sein.
Mathias R. Jessen
11

Die Antwort von Andrew B ist ausgezeichnet. Was er sagte.

So beantworten Sie die Frage: "Welche unerwünschten Dinge könnten passieren, wenn eingehende UDP-Pakete an Port 53 nicht blockiert würden?" Genauer gesagt habe ich "DNS-basierte Angriffe" gegoogelt und diesen praktischen Artikel erhalten . Umschreiben:

  1. Distributed Reflection DoS-Angriff
  2. Cache-Vergiftung
  3. TCP-SYN-Fluten
  4. DNS-Tunneling
  5. DNS-Hijacking
  6. Grundlegender NXDOMAIN-Angriff
  7. Phantom Domain-Angriff
  8. Zufälliger Subdomain-Angriff
  9. Domain-Lock-Up-Angriff
  10. Botnet-basierte Angriffe von CPE-Geräten

Dies ist keine abschließende Liste möglicher DNS-basierter Angriffe, sondern nur zehn, die in einem Artikel erwähnt werden sollten.

Wirklich, die kurze Antwort ist : „Wenn Sie nicht haben es aussetzen, nicht.“

Katherine Villyard
quelle
3
"If you don't have to expose it, don't."Das gilt für viele Dinge im Leben.
user9517 unterstützt GoFundMonica
3

Sie blockieren es, weil sie es können und es eine vernünftige Sicherheitspolitik ist.

Das Problem ist häufig schwerwiegender als das Vorhandensein potenzieller offener Resolver. Letztendlich spielt es keine Rolle, DNS-Server sicher einzurichten, ohne offene Resolver zu sein, und zwar mit Anti-DDOS-Maßnahmen, wenn ein Server oder eine Maschine mit einem versehentlich installierten DNS-Dienst Wenn Sie DNS-Weiterleitungsanforderungen an den Haupt-DNS-Server senden, kann jeder Angreifer die auf Ihren DNS-Servern implementierten Verkehrsbegrenzungen und Sicherheitseinschränkungen umgehen.

Die Anfragen scheinen auch von der internen Infrastruktur zu kommen und können interne DNS-Namen und unerwünschte Details der internen Organisation / Netzwerk- / IP-Adressierung offen legen.

Entsprechend den Netzwerksicherheitsregeln ist es umso unwahrscheinlicher, dass die Anzahl der Dienste und Dienste, die Sie nach außen bringen, beeinträchtigt wird und als Einstiegspunkt für einen Angriff auf Ihre Infrastruktur von innen dient.

Rui F Ribeiro
quelle
2

Wenn es um UDP-Verkehr geht, möchten Sie normalerweise restriktiv sein, weil:

a) Im Vergleich zu TCP ist es für einen Paketfilter schwieriger, zuverlässig zu bestimmen, ob ein eingehendes Paket eine Antwort auf eine Anfrage aus dem Netzwerk ist ... oder eine unaufgeforderte Anfrage. Die Durchsetzung von Client / Server-Rollen über eine Paketfilter-Firewall wird daher schwieriger.

b) Jeder Prozess, der an einen UDP-Port auf einem Server oder Client-Computer gebunden wird, selbst wenn er nur an diesen Port gebunden wird, weil er selbst eine Anforderung stellen möchte, wird auch unerwünschten Paketen ausgesetzt, wodurch die Systemsicherheit davon abhängig gemacht wird, dass es keine gibt Fehler im Prozess, die eine Ausnutzung oder Verwirrung ermöglichen würden. In der Vergangenheit gab es solche Probleme mit NTP-Clients. Bei einem TCP-Client werden nicht angeforderte Daten, die an diesen Client gesendet werden, in den meisten Fällen vom Betriebssystem verworfen.

c) Wenn Sie NAT ausführen, kann starker UDP-Verkehr aus ähnlichen Gründen wie in a) eine hohe Arbeitsbelastung für das NAT-Gerät verursachen.

Rackandboneman
quelle
0

Es gibt Tools, die VPN-Tunnel mithilfe des DNS-Protokolls und -Ports erstellen.

Jod ist einer von ihnen. Sie können Firewalls umgehen, indem Sie den Datenverkehr vollständig durch einen Server tunneln, auf dem diese Software ausgeführt wird. Wie in der Beschreibung angegeben, wird das DNS-Protokoll verwendet.

Dieses und ähnliche Tools könnten der Grund für diese Einschränkung sein.

Gerhard
quelle
2
Sie können IP über so ziemlich alle gängigen Anwendungsprotokolle tunneln , ganz zu schweigen von TLS. Das ist also kaum ein guter Grund, den Datenverkehr zu reduzieren. Außerdem würde man meinen, ein IP-over-DNS-Schema würde sich an einen kurzlebigen Port auf Client-Seite binden (wie es normale DNS-Clients tun), anstatt an Port 53.
Blacklight Shining