J3qx

information archive

Posts Tagged ‘DNS’

Certificate Authority Authorization – обязателен к проверке с сентября 2017

Posted by j3qx на Июль 9, 2017

Защищаемся от фальшивых сертификатов настройкой CAA в DNS

Стандарту CAA, описанному в RFC 6844 уже около 4х лет, и всё это время он находился в состоянии рекомендации.

Суть стандарта и механизм его использования есть в нашей статье про настройку TLS, поэтому не будем повторяться.

Так вот, в марте 2017 года CA/Browser Forum абсолютным большинством проголосовал за то, чтобы проверка CAA стала обязательной с сентября 2017 года.

Как выглядит утверждённый механизм проверки CAA?

Механизм выглядит так – если кто-то запрашивает определённый CA на выдачу сертификата для домена testdomain.local., то CA запрашивает через DNS разрешение CAA-записи за этот домен.

Читать далее…

Реклама

Posted in web | Отмечено: , , | Leave a Comment »

Как найти все поддомены у сайта.

Posted by j3qx на Декабрь 17, 2016

Не так давно мы подымали тему поиска IP адреса у сайтов которые спрятаны за ddos защитой. Сегодня мы поговорим о поиске поддоменов — неотъемлемой части подготовки ко взлому, а благодаря некоторым инструментам противостояние этим действиям стало намного проще.

как найти все поддомены

Незащищенные поддомены подвергают вашу деятельность серьезной опасности, а в последнее время произошел целый ряд инцидентов, при которых взломщики воспользовались поддоменами для обхода защиты.

В случае последнего из череды инцидентов весь код сайта Vine можно было загрузить с незащищенного поддомена.

Читать далее…

Posted in Undeground | Отмечено: , , | Leave a Comment »

Механизмы фильтрации DNS-сервера Windows Server 2016

Posted by j3qx на Сентябрь 2, 2015

Новый функционал DNS Server в Windows Server 2016 — политики обработки запросов, управление рекурсией и трансфером зон.

Привет.

DNS-сервер – пожалуй, та инфраструктурная единица, функционал которой точно надо знать до мелочей. Ведь если с DNS будут проблемы – они же сразу появятся у всех зависимых сервисов – у той же Active Directory, например.

Встроенный в Windows Server компонент DNS прошёл долгий путь развития – но его функциональность, безусловно, ещё далека от совершенства. Шаги в нужном направлении делаются, и сегодня мы поговорим про нововведение в Windows Server 2016 (он же Windows 10 Server, он же Windows Server Threshold, он же CloudOS) – возможность фильтрации и управления обработкой запросов (как на разрешение имён, так и на трансфер зон) на уровне DNS-сервера. Ранее управлять можно было на уровне клиента (см. мою статью про NRPT) – ну а аналога bind’овых view не было.

Я предполагаю, что вы знакомы с работой DNS-сервера на уровне хотя бы MCSA : Windows Server и обладаете углублённым знанием вопросов безопасности на уровне материала статьи про защиту DNS Server.

Начнём.

Фильтрация запросов и трансфера зон в Windows Server 2016

  • Зачем фильтровать запросы к DNS-серверу
  • Подготовка к фильтрации запросов – размечаем подсети с клиентами
  • Подготовка к фильтрации запросов – добавляем zone scope
  • Добавляем в зону A-запись, видимую только для определённого zone scope
  • Добавляем к зоне политику обработки запросов

Читать далее…

Posted in IT expert, IT manager, sysadmin | Отмечено: , , , | Leave a Comment »

Настройка EDNS0 в Windows Server

Posted by j3qx на Январь 18, 2015

Настройка EDNS0 в Windows Server

Привет.

Протокол DNS существует очень давно – с самой зари Интернета – и за время своего бытия оброс множеством дополнительных расширений и дополнений. Про одно из них – EDNS – мы и поговорим сегодня.

Я предполагаю, что на начало чтения статьи Вы знакомы с работой DNS и профильной терминологией хотя бы на уровне базового курса Microsoft 20410. Настройки буду делать на Windows Server 2012 R2 со всеми патчами – хотя все эти опции идентично работают и реализуемы начиная с Windows Server 2008 R2, а некоторые и ещё раньше. Для настроек буду использовать ATcmd последней версии – Вы можете использовать как эту утилиту, так и любой другой способ/инструмент; способ выполнения действий некритичен.

Настройка EDNS0 в Windows Server

  • Что такое и зачем нужен EDNS0
  • Тестим EDNS0 с нашего хоста, используя nslookup
  • Тестим EDNS0, используя автоматизированную утилиту ATcmd
  • Включаем EDNS0 на Windows Server
  • Настраиваем максимальный размер датаграммы EDNS0 на Windows Server
  • Таблица поддержки EDNS0 у других серверов: настраиваем
  • Если наш сервер не поддерживает новые расширения DNS
  • Что внутри у OPT-поля

Что такое и зачем нужен EDNS0

Механизм DNS, спланированный и стандартизированный к 1987 году (RFC 1035), безусловно, не мог на момент создания учитывать все перспективные изменения в требованиях, использовании, безопасности и прочем, что неразрывно связано с развитием сети Интернет. Изначально возможностей расширения было заложено в него крайне немного (разве что свои типы RR), поэтому вполне логично, что со временем появилась необходимость в его расширении. EDNS0, появившийся в 1999 году (через 12 лет после стандартизации DNS, RFC 2671), был призван решить этот вопрос, с чем неплохо справляется до сегодняшнего дня – правда, вместо превращения в EDNS1 (драфт которого в природе есть, но вообще не особо кому-то нужен), начал развиваться в ширину, обрастая опциями и применениями – RFC 6891 – но данный процесс для рабочего стандарта вполне нормален.

Что же добавляет EDNS0? В принципе, основным нововведением в нём является добавление нового типа псевдо-записи – OPT. Это специфичный тип RR-записи, которая не несёт DNS-данные (поэтому и “псевдо”), а нужна исключительно для стандартизации обмена служебной информацией. В подавляющем большинстве случаев использования в ней передаётся один блок информации – запись о максимальном обрабатываемом размере DNS-датаграммы.
Читать далее…

Posted in IT expert, sysadmin | Отмечено: , | Leave a Comment »

Безопасность и тюнинг DNS в Windows Server 2012 R2

Posted by j3qx на Январь 5, 2015

Безопасность и тюнинг DNS в Windows Server 2012 R2

Привет.

DNS – важная инфраструктурная служба. Настолько, что в предыдущей статье на тему безопасности DNS использовалась специальная иллюстрация:

Связь личной жизни IT-инженера и работоспособности инфраструктурных сервисов

В принципе, мало что изменилось – поэтому в данной, обновлённой версии статьи про безопасность DNS в Windows Server, я расскажу про то же самое, но уже детальнее. Будет рассматриваться Windows Server 2012 R2 со всеми обновлениями на январь 2015 года, для тюнинга будет использоваться ATcmd, в общем – работы много.

Безопасность и тюнинг DNS в Windows Server 2012 R2

  • Механизм SocketPool – защищаемся от предсказуемости DNS-порта
  • Secure cache against pollution – защищаемся от отравления DNS-кэша
  • Блокируем раннее обновление кэша – Cache Locking
  • Привязка DNS-сервера к сетевым интерфейсам
  • Удалённое управление DNS-сервером
  • Настраиваем Global Query Block List
  • Отключение обработки рекурсивных запросов
  • Ограничение времени кэширования записей
  • Отключаем AXFR / IXFR трансфер у зон, интегрированных в Active Directory
  • Ограничение числа Resource Record’ов (RR) в ответе DNS-сервера
  • Настройка BIND secondaries
  • Настройка тайм-аута AXFR / IXFR трансфера
  • Настройка времени блокировки AXFR / IXFR трансфера
  • Фильтрация Name checking
  • Механизм Aging/Scavenging в DNS
  • Работа Round Robin и Netmask Ordering
  • Блокировка динамической регистрации по типу RR
  • Настройка EDNS0 в Windows Server 2012 R2

Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

Список бесплатных DNS-сервисов

Posted by j3qx на Январь 20, 2014

Список бесплатных DNS-сервисов

Primary + Secondary
Сервис Кол-во NS Кол-во доменов Типы записей TTL Доп. фичи
pdd.yandex.ru/ 2 50 AAAA и SRV + Есть API
cloudflare.com/ 2 неограниченное AAAA, SRV, SPF, LOC +
2ns.info/ 4 неограниченное AAAA и SRV + Есть экспорт. Показывает регистратора, дату регистрации домена, дату окончания регистрации, тИЦ. By leonid239
dns.he.net/ 5 50 все + NS доступны по IPv6. Свой DDNS-сервис
www.netbreeze.net/dns/ 3 1 AAAA и SRV + Есть API
entrydns.net/ 3 неограниченное AAAA и SRV + Есть свой DDNS-сервис, REST-api
www.dnsever.com/ 3 неограниченное AAAA и SRV. + Есть свой DDNS-сервис
www.cloudns.net/ 4 3 AAAA, SRV и RP + Есть API. NS доступны по IPv6, импорт/экспорт в BIND9 и TinyDNS-формате
freedns.afraid.org/ 4 20 записей на каждый домен AAAA, SRV, LOC, RP, HINFO + NS доступны по IPv6 Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , , | Leave a Comment »

Что такое DNS Round robin?

Posted by j3qx на Декабрь 1, 2012

Что такое DNS Round robin?

Статья описывает одну из технологий балансировки нагрузки, которая может быть реализована средствами DNS.

Теория


Для перевода имени хоста в IP-адрес клиент DNS направляет серверу DNS рекурсивный запрос (т.е. запрос, на который сервер DNS возвращает клиенту либо ответ с IP адресом, либо ответ с ошибкой).

В подавляющем большинстве случаев в зонах DNS содержится только один IP адрес, соответствующий тому или иному имени хоста. А какой IP адрес будет возвращать клиенту сервер DNS, если зона содержит несколько записей типа A для одного и того же имени? Ответ простой: сервер DNS всегда возвращает клиенту все IP адреса, соответствующие запрашиваемому имени. А дальше клиент пытается связаться с первым IP адресом в списке и, если он не будет найден, делает попытку связаться со вторым адресом и т.д.

Предположим, у меня есть несколько зеркальных веб-сайтов по имениhttp://www.gorbunov.pro, расположенных на разных площадках и имеющих IP адреса20.0.0.130.0.0.1 и 40.0.0.1.

В ответ на рекурсивный запрос клиента об имени http://www.gorbunov.pro сервер DNS вернет клиенту весь набор записей из зоны:

http://www.gorbunov.pro 20.0.0.1
http://www.gorbunov.pro 30.0.0.1 Читать далее…

Posted in IT expert, sysadmin | Отмечено: , | Leave a Comment »

DNSSEC в Windows Server 2008 R2 – функционал и использование

Posted by j3qx на Сентябрь 29, 2012

DNSSEC в Windows Server 2008 R2 – функционал и использование

Привет.

Введение

Технология DNSSEC существует достаточно давно и реализована в Windows Server 2008 R2 и Windows 7. Не идеально, но реализована.
Но пользуются ей (в основном из-за смутности её плюсов и пугающей своей неочевидностью настройки) единицы.
За последний год я использовал эту технологию в двух проектах, и после устного общения с коллегами (которые в большинстве своём в IT далеко не первый год) выяснил, что DNSSEC вообще является мёртвой зоной – она вроде есть в плане технической реализации, но её вроде и нет. В enterprise её вообще не заметно, разве что только у малой части провайдеров (например, в рунете я нашёл только одного регистратора – R01, который декларирует поддержку DNSSEC для доменов).

Это нужно исправлять, так как в DNS достаточно много негатива, который не лечится совсем, либо для которого существуют “костыльные” решения.
Я предполагаю, что Вы знаете, как работает обычный DNS, плюс прочитали статью про обеспечение безопасности DNS на Windows Server 2008R2. Если ещё не сделали это – сейчас самое время.

Все записи DNS, IP-адреса и прочие выбраны случайно и не имеют никакого отношения к реальности. Совпадения случайны. Цель придумывания этих значений – наглядность изложения и упрощение понимания технологии DNSSEC. Их (имена записей и IP-адреса) не надо добуквенно копировать к себе, а потом удивляться артефактам поведения системы DNS. Я предупредил.

Оглавление

  • Что делает DNSSEC
  • Не рано ли внедрять DNSSEC?
  • Как работает DNSSEC
  • DNSSEC и логика кэширования
  • Терминология DNSSEC
    • Записи SIG и RRSIG
    • Записи NXT и NSEC
    • Запись NSEC3
    • Ключевые пары – ZSK и KSK
    • Записи DNSKEY, они же “Якори доверия”, они же trust anchors
    • Записи DS
    • Записи DLV – “подстраховка”
  • Включаем DNSSEC: Создаём ключи
    • Создание ключей защиты ключей (KSK)
    • Создание ключевой пары для зоны (ZSK)
    • Резервное копирование ключей DNSSEC
  • Включаем DNSSEC: Операции с DNS-зонами
    • Подписываем зону
    • Распространяем её trust anchor’ы
  • Включаем DNSSEC: Подготавливаем DNS-сервера
  • DNSSEC: Настройки со стороны клиентов (NRPT)
  • Тестируем DNSSEC

Что делает DNSSEC

Ключевой задачей DNSSEC является построение доверенной инфраструктуры разрешения имён в Интернете. То есть и запросы и ответы сервера (как с данными, так и негативные) должны быть авторизованы.

Примечание: Сразу уточним – конфиденциальность данных (т.е. шифрование оных) не является целью DNSSEC, но может реализовываться как дополнительная мера безопасности. Читать далее…

Posted in IT expert, ITSecurity, sysadmin | Отмечено: , | Leave a Comment »

NRPT: Управляем безопасным DNS на Windows-клиенте

Posted by j3qx на Сентябрь 16, 2012

NRPT: Управляем безопасным DNS на Windows-клиенте

Привет.

Введение

Эта статья – про отдельную, но достаточно важную функцию по управлению DNS-подсистемой на стороне клиента. В частности, NRPT будет помогать и при использовании DNSSEC, и про работе с DirectAccess, в общем знание работы NRPT необходимо, чтобы обладать пониманием всей системы DNS на предприятии. Без NRPT Вы можете хорошо представлять, как взаимодействуют сервера друг меж другом и с внешними источниками, но безопасная ‘последняя миля’ без NRPT не настраивается. Я вообще хотел это сделать частью статьи про DNSSEC, но и эта тема заслуживает отдельного описания, и та статья уже достаточно масштабна и имеет тенденцию к росту. Поэтому заранее делаем отдельно.

Технология NRPT реализована в Windows 7, поэтому разговор будет именно про эту ОС. Я предполагаю, что Вы ознакомились со статьями про безопасность DNS в Windows Server 2008 R2 и про DNSSEC в Windows Server 2008 R2.

Многие предполагают, что NRPT – исключительно “внутридоменная” технология. Это не так, и NRPT настраиваема и для отдельных хостов. Далее – подробнее.

Оглавление

  • Что такое NRPT – Name Resolution Policy Table
  • Про Windows 7 DNS Client
  • Глобальные настройки NRPT
    • Network Location Dependency
    • Query Failure
    • Query Resolution
    • Просмотр текущего значения глобальных настроек NRPT
  • Правила NRPT и DNSSEC / DirectAccess
  • Настройка NRPT в домене
  • Настройка NRPT на отдельном хосте Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

Создание обратной зоны в DNS с нестандартной маской

Posted by j3qx на Сентябрь 8, 2012

Создание обратной зоны в DNS с нестандартной маской

Давайте представим ситуацию, когда провайдер делегирует управление доменом клиенту. Плюс, чтобы не заморачиваться, сразу же и делегирует ему же управление обратной зоной. Но вот незадача, подсеть клиента – /25. Т.е. маска – не классовая, а VLSM-ная. Давайте смоделируем эту ситуацию.

Для организации тестового полигона воспользуемся Microsoft Windows Server 2008 R2 SP1. Интересный момент – образ содержит варианты – Web, Standard, Enterprise, Datacenter, причем для всех есть отдельно вариант установки Server Core. Соотвественно, ключи есть для всех четырех вариантов. Все это возможно благодаря новому формату образов – WIM.

С помощью технологии Hyper-V на одном сервере мы получаем целый тестовый полигон, и в данном случае нам понадобятся две виртуальные машины. Читать далее…

Posted in IT expert, sysadmin | Отмечено: , | Leave a Comment »