Quali sono i rischi pratici derivanti dall'abilitazione degli aggiornamenti DNS non sicuri su Windows?


9

Quali sono i rischi pratici derivanti dall'abilitazione degli aggiornamenti DNS non sicuri su Windows?

Per quanto ho scoperto, abilitare gli aggiornamenti DNS non sicuri è un requisito per consentire ai client DHCP Linux di registrare i loro nomi con un nome di dominio completo.

Voglio sapere quali sono i rischi pratici coinvolti in questo al fine di valutare se è giusto averli abilitati o meno.

Per quanto ne so, una macchina non sarebbe in grado di acquisire un altro nome riservato che sarebbe l'unica vera preoccupazione che io ora.

Ovviamente sarebbe il DDOS ma considerando che stiamo parlando di intranet qui, dubito che questo potrebbe essere un rischio reale.

Lo hai abilitato sul tuo dominio o no? Hai mai dovuto disabilitarlo a causa di alcuni problemi con esso?


Bene, se vuoi che qualcuno sia in grado di dichiarare qualsiasi nome host è il loro (come scatole DSL di consumo) ...
joshudson,

Risposte:


10

Insicuro

Fondamentalmente non dovresti mai, mai consentire aggiornamenti non sicuri. Personalmente non mi piace nemmeno che il server DNS ti permetta persino di disattivare gli aggiornamenti sicuri. Ciò consente a chiunque sulla tua rete (come un hacker) di registrare record DNS senza richiedere l'autenticazione di Active Directory. Ciò consentirebbe all'attaccante di "falsificare" un nome DNS sulla propria rete e di reindirizzare le persone su un altro server rispetto a quello che pensavano stesse andando.

Un altro esempio di quando questa impostazione può rovinare la tua giornata in modo accidentale piuttosto che malizioso ... qualcuno ha disattivato gli aggiornamenti sicuri ... tutti gli ILO HP (gestione fuori banda) su tutte le macchine della rete sono stati improvvisamente in grado di avviare la registrazione dinamica i propri record DNS ... ma gli ILO sono stati nominati come i server, quindi hanno sovrascritto i record DNS dei server host!

Disabilitare gli aggiornamenti sicuri è una pessima idea. Non farlo.

Per una possibile soluzione per far sì che i tuoi client Linux sfruttino il DHCP per registrare i record DNS in modo sicuro, questo potrebbe aiutare: Registrare un record per la mia scatola Linux sul mio server DNS / DHCP di Windows 2008


Sì, mi è successo una volta in cui qualcuno ha collegato un computer con lo stesso nome di un server e poiché il mio predecessore aveva disattivato tutte le forme di sicurezza, la voce DNS del server è stata sostituita da quel PC casuale, quindi tutti gli utenti richiedono al server che finisce su quel PC !!!
ETL

@ETL hai detto che questo "server" è stato probabilmente offline per molto tempo ed è per questo che un'altra macchina è stata in grado di prendere il suo nome. Dubito che ciò possa accadere mentre la macchina è accesa.
sorin,

@sorin - il server era decisamente attivo. Un server Linux con, se ricordo bene, una voce DNS statica (che non era anche bloccata per la modifica)
ETL

Sto lavorando per implementare la soluzione dal post collegato, spero che funzionerà.
sorin,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.