विंडोज पर असुरक्षित डीएनएस अपडेट को सक्षम करने के व्यावहारिक जोखिम क्या हैं?


9

विंडोज पर असुरक्षित डीएनएस अपडेट को सक्षम करने के व्यावहारिक जोखिम क्या हैं?

जहां तक ​​मैंने पाया कि असुरक्षित डीएनएस अपडेट को सक्षम करना डीएचसीपी लिनक्स ग्राहकों को एफक्यूडीएन के साथ अपना नाम दर्ज करने से सक्षम करने की आवश्यकता है।

मैं यह जानना चाहता हूं कि क्या ये व्यावहारिक जोखिम हैं ताकि मूल्यांकन किया जा सके कि ये सक्षम हैं या नहीं।

जहां तक ​​मुझे पता है कि एक मशीन एक और आरक्षित नाम नहीं ले पाएगी, जो एकमात्र वास्तविक चिंता होगी जो अब मैं करता हूं।

जाहिर है कि यह डीडीओएस होगा लेकिन यह देखते हुए कि हम यहां इंट्रानेट के बारे में बात कर रहे हैं, मुझे संदेह है कि यह वास्तविक जोखिम हो सकता है।

क्या आपके पास यह आपके डोमेन पर सक्षम है या नहीं? क्या आपको कभी इसके साथ कुछ समस्याएं होने के कारण इसे अक्षम करना पड़ा?


यदि आप चाहते हैं कि कोई भी किसी भी होस्टनाम को घोषित करने में सक्षम हो, तो वह उनका है (जैसे उपभोक्ता डीएसएल बक्से) ...
joshudson

जवाबों:


10

असुरक्षित

आपको मूल रूप से कभी नहीं, कभी भी गैर-सुरक्षित अपडेट की अनुमति देनी चाहिए। व्यक्तिगत रूप से मुझे यह पसंद नहीं है कि DNS सर्वर आपको सुरक्षित अपडेट बंद करने की भी अनुमति देता है। यह आपके नेटवर्क (हैकर की तरह) पर किसी को भी सक्रिय निर्देशिका प्रमाणीकरण के साथ DNS रिकॉर्ड को पंजीकृत करने की अनुमति नहीं देता है। यह हमलावर को आपके नेटवर्क पर एक DNS नाम को "स्पूफ" करने और लोगों को दूसरे सर्वर पर रीडायरेक्ट करने की अनुमति देगा, जैसा कि वे सोचते थे कि वे जा रहे हैं।

जब यह सेटिंग दुर्भावनापूर्ण तरीके से नहीं बल्कि गलती से आपके दिन को बर्बाद कर सकती है, तो इसका एक और उदाहरण ... किसी ने सुरक्षित अपडेट बंद कर दिया ... सभी HP ILO (बैंड प्रबंधन से बाहर) नेटवर्क पर सभी मशीनें अचानक गतिशील रूप से पंजीकरण शुरू करने में सक्षम थीं अपने स्वयं के DNS रिकॉर्ड ... लेकिन ILO को सर्वर के रूप में नामित किया गया था, इसलिए उन्होंने होस्ट सर्वर के DNS रिकॉर्ड को ओवरवोट कर दिया!

सुरक्षित अपडेट अक्षम करना एक भयानक विचार है। बस नहीं है।

DNS रिकॉर्ड्स को सुरक्षित रूप से पंजीकृत करने के लिए अपने लिनक्स क्लाइंट्स को लाभ उठाने के लिए एक संभावित समाधान के लिए, यह मदद कर सकता है: मेरे विंडोज 2008 DNS / DHCP सर्वर पर मेरे लिनक्स बॉक्स के लिए एक रिकॉर्ड दर्ज करें


हाँ, मेरे साथ एक बार ऐसा हुआ जहाँ किसी ने कंप्यूटर में सर्वर के समान नाम के साथ प्लग इन किया और क्योंकि मेरे पूर्ववर्ती ने सभी प्रकार की सुरक्षा को बंद कर दिया था, सर्वर की DNS प्रविष्टि को उस यादृच्छिक पीसी से बदल दिया गया, इस प्रकार सभी उपयोगकर्ता अनुरोध सर्वर उस पीसी पर समाप्त हो रहा है !!!
ईटीएल

@ETL आपने उल्लेख किया है कि यह "सर्वर" संभवतः लंबे समय तक ऑफ़लाइन था और इसीलिए एक अन्य मशीन इसका नाम लेने में सक्षम थी। मुझे संदेह है कि मशीन के उठने के दौरान यह हो सकता है।
सोरिन

@ सोरिन - सर्वर निश्चित रूप से ऊपर था। एक लिनक्स सर्वर, अगर मुझे सही ढंग से याद है, तो एक स्थिर DNS प्रविष्टि (जो संपादन के लिए भी बंद नहीं थी)
ETL

मैं लिंक्ड पोस्ट से समाधान को लागू करने पर काम कर रहा हूं, मुझे उम्मीद है कि यह काम करेगा।
सोरिन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.