Bir üniversite neden 53 numaralı varış noktasıyla gelen UDP trafiğini engellesin?

20

Anladığım kadarıyla, DNS UDP ve 53 numaralı bağlantı noktasını kullanır. 53 numaralı bağlantı noktası için gelen UDP paketlerinin engellenmemesi durumunda ne istenmeyen şeyler olabilir?

GÜNCELLEME: Paketler, üniversite tarafından işletilen yerel DNS sunucusu veya üniversite tarafından işletilen yetkili DNS sunucusuna yöneliktir veya bunlara yöneliktir.

domain-name-system  security  udp 
Daniel Kobe
kaynak
19
Why would a university block incoming UDP traffic with destination port 53?- Neden olmasınlar? Ya da başka bir yolla: Neden bir isim sunucusu olsaydı, kamuya açık alan adlarının yetkili ad sunucularına ulaşmak dışında, 53 numaralı hedef bağlantı noktasıyla gelen UDP (veya TCP) trafiğine ağ / güvenlik duvarı gelen geçişini sağlamasına izin verdiler? üniversite içi ağda barındırılan?
joeqwerty
2
Üniversitenin kendi DNS sunucuları hariç, 53 numaralı bağlantı noktası için gelen tüm UDP trafiği engellendi mi? Bu, şüphesiz bana sansür için DNS kullanma girişimi gibi geliyor. Müşteriler, UDP istekleri geri gelmediğinde sadece TCP'yi deneyeceklerinden, aklıma gelen herhangi bir sistemde çalışmaz. Ayrıca 53 numaralı bağlantı noktası için TCP trafiğini de bıraktıklarını söylemeyi unutmadıkça
Blacklight Shining
5
Genel bir uygulama olarak, bir sistem yöneticisi asla kendilerine “bu limanı engellemem için iyi bir neden var mı” diye sormaz. Genellikle, tüm bağlantı noktaları güvenlik duvarlarında varsayılan olarak engellenir ve kendilerine " bu bağlantı noktasını açmamın çok iyi bir nedeni var" diye sordular.
Federico Poloni
DNS sadece UDP kullanmaz, TCP kullanır. UDP trafiğine izin veriyorsanız, TCP'ye de izin vermelisiniz, aksi takdirde işler bozulur (ve tersi takdirde, UDP'yi düşürürseniz, TCP'yi de düşürün).
Edheldil
2
@FedericoPoloni Sadece bunu yaparsanız "İnternet erişimi" sağladığınızı iddia etmeyin, çünkü yapmazsınız.
David Schwartz

Yanıtlar:

40

Mantık şöyle çalışır:

  1. Yalnızca internete kayıt sağlayan yetkili DNS sunucularının gösterilmesi gerekir .
  2. İnternete maruz kalan açık özyinelemeli sunucular kaçınılmaz olarak ağ taramaları ve kötüye kullanımları tarafından bulunacaktır. (Bkz. Kullanıcı 1700494'ün cevabı)
  3. Birinin yanlışlıkla açık bir özyinelemeli sunucuyu ayakta durma olasılığı, açık bir yetkili DNS sunucusundan daha yüksektir. Bunun nedeni, birçok cihazın ve "kutudan çıkma" nın, sınırsız özyinelemeye izin vermek için varsayılan olarak yapılandırılmış olmasıdır. Yetkili yapılandırmalar çok daha özelleştirilmiş ve nadiren karşılaşılıyor.
  4. 1-3 göz önüne alındığında, istenmeyen tüm gelen trafiğin 53 hedef bağlantı noktasıyla bırakılması ağı korur. Nadir bir başka yetkili DNS sunucusunun ağa eklenmesi gerektiğine (planlanan bir etkinlik), istisnalar gerektiği gibi tanımlanabilir.
Andrew B
kaynak
24

Örneğin, saldırganlar üniversitenin DNS sunucusunu DNS Amplifikasyon DDoS Attack için geçiş sunucusu olarak kullanabilirler

user1700494
kaynak
Yayınladığınız bağlantıda, dns amplifikasyonu altında, sorgudan 50 kat daha büyük bir yanıt almak için bir kazı sorgusunu nasıl kullanabileceğinizi belirtir. Ancak eğer 53 numaralı limanda gelen UDP trafiği engelleniyorsa, nasıl bir üniversite adresine bir kazı sorgusu yapabilirim?
Daniel Kobe
1
@DanielKobe Söz konusu ana bilgisayar kaydına sahip olan DNS bölgesi, yalnızca şu anda UDP / 53 paketlerini gönderemediğiniz DNS sunucusunda var olmak zorunda değildir. Aynı zamanda bölünmüş ufukta bir DNS kurulumunun da bir göstergesi olabilir.
Mathias R. Jessen
11

Andrew B'nin cevabı mükemmel. O ne dedi.

"53 numaralı bağlantı noktasına gelen UDP paketlerinin engellenmemesi halinde ne istenmeyen şeyler olabilir?" Sorusuna cevap vermek için? daha spesifik olarak, "DNS tabanlı saldırılar" hakkında googledim ve bu kullanışlı makaleyi aldım . Kelimeleri ifade etmek:

  1. Dağıtılmış Yansıma DoS saldırısı
  2. Önbellek zehirlenmesi
  3. TCP SYN taşmaları
  4. DNS tüneli
  5. DNS kaçırma
  6. Temel NXDOMAIN saldırısı
  7. Fantom Domain saldırısı
  8. Rastgele alt etki alanı saldırısı
  9. Etki alanı kilitleme saldırısı
  10. CPE cihazlarından botnet tabanlı saldırılar

Bu, olası bir DNS tabanlı saldırının tam bir listesi değil, sadece bir makalenin söyleyebilecek kadar dikkat çekici olduğunu söyledi.

Gerçekten, kısa cevap "Eğer yoksa olduğunu var hale getirileceğini, yapma."

Katherine Villyard
kaynak
3
"If you don't have to expose it, don't."Hayattaki birçok şey için bu doğru.
user9517
3

Engelliyorlar, çünkü yapabilirler ve bu mantıklı bir güvenlik politikası.

Sorun genellikle olası açık çözücülere sahip olmaktan daha ciddidir - günün sonunda, DNS sunucularının yanlışlıkla kurulu olduğu herhangi bir sunucu veya makinenin yanlışlıkla kurulu olduğu herhangi bir sunucu veya makinenin DDOS karşıtı önlemlerle güvenli bir şekilde, açık çözücüler olmadan, kurulumunun önemi yoktur. ve ana DNS sunucusuna DNS yönlendirme istekleri yapmak, herhangi bir saldırganın DNS sunucularınızda uygulanan trafik sınırlandırmanızı ve güvenlik kısıtlamalarınızı atlamasına olanak tanır.

İstekler ayrıca iç yapıdan geliyor gibi görünecek ve DNS dahili adlarını ve dahili organizasyon / ağ / IP adreslemesinin istenmeyen ayrıntılarını gösterebilir.

Ayrıca, ağ güvenliği kurallarına göre, dışarıya maruz bıraktığınız servis ve hizmet sayısı ne kadar az olursa, riskleri daha düşüktür ve içeriden içeriye yapılan saldırınızdan yararlanmanız için giriş noktası olarak kullanılma olasılığı o kadar düşüktür.

Rui F Ribeiro
kaynak
2

Genellikle, UDP trafiğine gelince, kısıtlayıcı olmak istersiniz, çünkü:

a) TCP ile karşılaştırıldığında, gelen bir paketin ağ içindeki bir talebe cevap mı yoksa istenmeyen bir talebe mi cevap verdiğini güvenilir bir şekilde belirlemek için bir paket filtresinin kullanılması daha zordur. Paket filtreleme güvenlik duvarı üzerinden istemci / sunucu rollerini zorlamak, bu nedenle zorlaşır.

b) Bir sunucu veya istemci bilgisayardaki bir UDP bağlantı noktasına bağlanan herhangi bir işlem, yalnızca kendisi bir istek yapmak istediği için bu bağlantı noktasına bağlansa bile, istenmeyen paketlere maruz kalır ve sistem güvenliğini oraya bağımlı hale getirir. bu süreçte istismar veya karışıklığa yol açabilecek kusurlar. Geçmişte örneğin NTP müşterileriyle bu tür sorunlar yaşandı. Bir TCP istemcisiyle, bu istemciye gönderilen istenmeyen veriler çoğu durumda işletim sistemi tarafından atılır.

c) NAT kullanıyorsanız, yoğun UDP trafiği, a) 'daki gibi benzer nedenlerden dolayı NATing ekipmanı için çok fazla iş yükü oluşturabilir.

rackandboneman
kaynak
0

DNS protokolünü ve bağlantı noktasını kullanarak VPN tüneli oluşturan Araçlar vardır.

iyot bunlardan biridir. Bu yazılımı çalıştıran bir sunucu aracılığıyla trafiği tamamen tünelleyerek güvenlik duvarlarını atlamayı sağlar. Tanımda belirtildiği gibi, DNS protokolünü kullanır.

Bu ve benzeri araçlar bu sınırlamanın nedeni olabilir.

Gerhard
kaynak
2
IP’yi ortak uygulama protokollerinin hemen hemen hiçbirine tünelleyebilirsiniz, TLS’den söz etmeyin, bu nedenle trafiği bırakmak için iyi bir neden değildir. Bunun yanı sıra, DNS üzerinden bir IP düzeninin 53 numaralı bağlantı noktasından ziyade geçici bir bağlantı noktası istemci tarafına (normal DNS istemcilerinin yaptığı gibi) bağlanacağını düşünebilirsiniz.
Blacklight Shining
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.