DNS server πίσω από firewall?

Το πρόβλημα…

There are lots of badly constructed firewalls.

  • Some block source port != 53
  • Some block source port < 1024
  • Some block source port 1024-1030 (rpc ports)
  • Some block source port ~7000 (irc ports)

If you have a nameserver you should allow traffic to port 53
on the nameserver regardless of the source port. It should
also allow reply traffic to any destination port.

…ο σωστός τρόπος

With a first match firewall you should have rules like:

state-full firewall

  • check-state ; allow inbound replies
  • allow any to nameserver 53 in ; allow inbound queries
  • allow nameserver 53 to any out ; allow replies
  • allow any to any 53 out keep-state ; allow outbound queries
  • <put your general blocks here>

state-less firewall (query-source port 53)

  • allow tcp established
  • allow any to nameserver 53 in ; allow inbound queries and inbound replies
  • allow nameserver 53 to any out ; allow replies
  • allow udp any 53 to any 53 out ; allow outbound queries
  • <put your general blocks here>

If you are worried about too much state being kept with the state-full
firewall you can do it as a state-less firewall for the recursive
servers by inserting a rule like this before the keep-state rule

  • allow udp <recursive server> 53 to any 53 out

Bind has a built in list of ports for which it will not
responed to with error messages. It will also not reply
to responses.

(ref)

Τι καταλήγει στον DNS ενός ISP;

Με χρήση του dnstop για 10 μόνο λεπτάκια βρίσκει κανείς πολύ εύκολα..

  • Reverse από rfc1918 domains (κατα σειρά εμφάνισης)
    • *.168.192.in-addr.arpa
    • *.10.in-addr.arpa
  • Unknown TLDs (κατα σειρά εμφάνισης)
    • lvs_proxy
    • *.domain_not_set.invalid
    • *.lan
    • *.local
    • wpad
    • *.gateway
    • *.none
    • localhost
  • Top invalid destinations (κατα σειρά εμφάνισης)
  • Top destinations (κατα σειρά εμφάνισης)
    • ntp servers: time-nw.nist.gov, time.nist.gov, stdtime.gov.tw
    • root-servers.net
    • myspacedn.com
    • google.com
    • yahoo.com
    • dyndns.org
    • microsoft.com
    • facebook.com
    • msn.com
    • hi5.com
    • no-ip.info
    • youtube.com
    • google-analytics.com
    • live.com
    • intel.com
    • bitcomet.org
    • googlesyndication.com
    • imageshack.us
    • photobucket.com
    • thepiratebay.org
    • doubleclick.net
    • ath.cx

Επίσης μπορείς εύκολα να καταλάβεις

  • ποιοί είναι mail servers (MX queries, PTR queries, queries σε dnsbls)
  • ποιοί κάνουν mail spam πιθανώς από κάποιο worm infection (από τα συνεχόμενα MX queries χωρίς άλλα checks)
  • ποιοί σε έχουν βάλει για dns forwarder ..

DNS Survey Oct 2007

Το DNS Survey που έγινε τον Οκτώβριο από το Measurement Factory (με sponsor την Infoblox) έχει ορισμένα πολύ ενδιαφέροντα στατιστικά για τους NS του Internet..

Μερικά γρήγορα συμπεράσματα:

  • Το Bind 9 ζει και βασιλεύει (αλλά ο Nominum CNS έχει 20%!).
  • Υπάρχουν ακόμα πολλοί resolvers που επιτρέπουν recursion και αρκετοί που επιτρέπουν zone transfers (γιατί έτσι μάθαμε το Internet :)).
  • IPv6 και DNSSEC ακόμα …τίποτα!
  • Ευτυχώς οι περισσότεροι NS είναι topologically dispersed σε κάτι μεγαλύτερο απο /24. Μάλλον είναι μόνο Ελληνικό το φαινόμενο τα domains να έχουν δύο NS οι οποίοι είναι ip aliases στο ίδιο μηχάνημα..
  • Δυστυχώς μόνο το 50% των NS είναι consistent μεταξύ registrar και actual zone.

Μπορείτε επίσης να διαβάσετε την ανάλυση των αποτελεσμάτων από τον Cricket Liu (2 σελίδες executive summary, θέλει registration και μετά η infoblox στέλνει μια στο τόσο ενημερωτικά για τα προϊόντα της, well targeted και συνήθως ενδιαφέροντα).

inbox-outbox nov 2007

Μετά από πρόσκληση του ENISA παρακολούθησα την περασμένη βδομάδα (27-28 Νοεμβρίου) το inbox/outbox.

ENISA, the European Network and Information Society Agency, organises in the context of the Inbox Outbox event a workshop on anti-spam measures. The aim of the workshop is to bring together key European stakeholders to debate about the effectiveness of current and future anti-spam measures and their compatibility with existing privacy regulations.

More specifically the workshop will address filtering methods, emerging anti-spam approaches, spamming trends and privacy of users.Invited speakers represent the European Commission, regulators, ISP providers, anti-spam software vendors, research and privacy experts. ENISA will present during the workshop the findings of a recent study on security and anti-spam measures.

Πραγματικά πολύ ενδιαφέροντα θέματα, για τα οποία μπορείτε να κατεβάσετε τα presentations σε ηλεκτρονική μορφή. Το καλύτερο ήταν οι συζητήσεις μεταξύ των sessions βέβαια :)