Her er er så beviset på at firewall ikke altid er den sikreste løsning. Har 2 DNS server de står begge i DMZ, den ene er mere fri end den anden, da den kan snakke ud på alle porte, men den anden er bunde af en ACL der styre alt udgående trafik, så der er lavet en statisk regel, der tillader den at snakke ud af huset på port 53, men kun port 53, og nå ja så kan den snakke port 123 med Red Hat og den kan snakke med RHN via SSL på port 443. Endelig skulle dette jo være godt nok, lige indtil for ganske nydeligt. Den seneste tid DNS snak har jo sådan set skudt dette til jorden, da alle sikkerheds eksperter nu anbefaler DNS snak kan snakke ud på forskellige ikke forudsigelige porte for at undgå DNS cache gift. eller DNS poisen, der kan udnyttes til fiskerrig phising, men hvordan laver man firewall regler der kan åbne random porte på opfordring. Jeg ved ikke med dig, men for mig lyder det helt umulig, da man ligeså godt kunne droppe kontrollen af udgående porte total. Er der nogle der kender de range af porte Binde 9 kan finde på at snakke ud på hvis jeg fjerne linjen fra named.conf der binder den til port 53 vil jeg meget gerne høre fra jer, bare drop en kommentar, og jeg vil praktiserer det. Indtil jeg har fundet en løsning på dette problem, vil jeg praktiserer et forbud mod at begrænse en server i DMZ til de porte man har åbnet for den...
Med venlig hilsen
Dennis
P.S.
Hvis du vil tjekke din DNS server, ved jeg der findes flere steder på nettet hvor du kan gøre det, jeg personlig brugte dette link
http://www.doxpara.com/
Abonner på:
Kommentarer til indlægget (Atom)
Ingen kommentarer:
Send en kommentar