Se maskinöversättning på 

Om rekursion i DNS-servrar vid SU

Introduktion

Detta dokument beskriver IT-avdelningens policy för hanteringen av rekursiva DNS-uppslag som gällt sedan 2006-03-14.

Kort om rekursion

Förenklat kan man säga att rekursion innebär att en DNS-server svarar på frågor för domäner som den själv inte är ägare för. Om en klient t.ex. frågar SU:s centrala DNS-server vad www.su.se har för IP-adress så krävs alltså ingen rekursion eftersom domänen "su.se" hanteras av den DNS-servern själv. Frågar klienten däremot vad exempelvis www.ibm.com har för adress så måste SU:s DNS-server använda sig av rekursion, dvs kontakta andra DNS-servrar i världen för att ta reda på svaret och sedan vidarebefordra det till klienten.

Bakgrund till policy

Under 2005 och 2006 har DNS-servrar som tillåter rekursion från hela världen börjat utnyttjas av obehöriga för olika typer av attacker. Därför måste detta begränsas på SU:s centrala DNS-servrar, och givetvis även på andra DNS-servrar vid SU. Detta är inte bara ett krav från IT-avdelningen utan kommer även som en uppmaning från SUNET CERT. Se referens nedan för teknisk beskrivning av de olika attackerna. Detta innebär att SU:s centrala DNS-servrar inte tillåter rekursion från datorer (eller annan nätverksutrustning) som sitter utanför SU:s nätverk.

Klienter utanför SU:s nätverk

Datorer utanför SU:s nätverk ska inte använda den centrala resolvertjänsten, utan förväntas vara korrekt konfigurerad på nätet där de står. Med korrekt konfigurerade avses här att man använder DNS-tjänsten som tillhandahålls av internetleverantören man använder sig av. Eftersom så gott som alla internetleverantörer idag använder sig av DHCP för nätverkskonfigurering så sköts då även DNS-inställningarna automatiskt.

Att verifiera DNS-inställningarna

På Windows hittar man DNS-inställningarna under Start -> Control Panel -> Network Connections -> Local Area Connection -> Properties -> Internet Protocol (TCP/IP) -> Properties -> Obtain DNS server address automatically / Use the following DNS server address. På Linux/Unix-system hittar man inställningarna i filen /etc/resolv.conf. För datorer på SU:s nätverk ska detta ställas in enligt:
Om DNS på Stockholms universitet

För datorer utanför SU ska det alltså vara de inställningarna som tillhandahålls av den aktuella internetleverantören. Om de utelämnas innebär det oftast att de korrekta DNS-inställningarna hämtas automatiskt via DHCP, om detta är aktiverat.

Övriga DNS-servrar vid SU som tillåter rekursion

  1. Det är givetvis inte heller acceptabelt att övriga DNS-servrar vid SU är öppna för medverkan i sådana här attacker. Systemadministratörer uppmanas därför att åtgärda detta genom att antingen:
    Stänga av DNS-servertjänsten på datorer där denna inte används. Tänk på att den på vissa operativsystem startas som standard, trots att den inte behövs.

    eller:
     
  2. Stänga av rekursion om detta inte är absolut nödvändigt. Om rekursion är nödvändigt ska detta begränsas till det lokala nätverket.
    För att förhindra att dessa utnyttjas för attacker kommer de som inte är åtgärdade 2006-04-06 att kopplas bort från nätverket. Eventuella sårbara datorer som dyker upp efter det kommer också att kopplas bort.

Referenser

350Visningar
0
© ComAround Scandinavia AB 2000 - 2020 Med ensamrätt

Hjälpte den här artikeln dig?