DNSサーバーに設定できる最も制限の厳しい外部ファイアウォール/ DNSリスニングポート設定は何ですか(内部クライアントのみ)

DNSサーバーに設定できる最も制限の厳しい外部ファイアウォール/ DNSリスニングポート設定は何ですか(内部クライアントのみ)
  • この質問は、特にDNS、ファイアウォール、およびntp構成の強化に関連しています。 (プロキシ、httpアクセス、VPN、その他のサービスではありません)
  • これはネットワークの外面に関するものです。 DNSクライアントは、別々のインターフェイスカードを介してDNSサーバーにローカルに接続されます。方程式から私のDNSサーバーのクライアント側または他の内部エントリを削除したいと思います。
  • スタックで可能な限り最小数のポートを開き、できるだけ開いているポート(tcp / udp、送信元/宛先ポートなど)を制限します。
  • 最大の懸念は、私のDNSサーバーから別のDNSサーバーへのクエリは、1024から49152の間の送信元ポートを使用して行うことができますが、そのポートをすべて開いたくないことです。
  • ファイアウォールは「最も」(NAT)を使用しています。
  • DNS は dns-sec を使用します。
  • セキュリティは遅い応答時間よりも優先されます。
  • DNSが他のポートと通信するために開く必要がある最小攻撃サーフェスとも呼ばれる最小ポート/プロトコル数など(「明白な」ポートを含む)を使用して、これがなぜ発生するのかを回答できれば、最も役立ちます。サーバー。
  • FirewallDは* nixの世界の最新のフロントエンドなので、(直接iptablesまたはpfの代わりに)FirewallDを使用できるすべての例は価値が増します。

  • これは本質的に一般的な質問ですが、私の状況では一般的な標準アプリケーションがあります。つまり、バインドされたDNS、Squidプロキシ、およびファイアウォールを備えたRHELシリーズLinuxサーバーは、すべて同じシステム上にあり、外部インターネットに面しています。

    私は周りを見回し、特定のソフトウェアや修正に頼る多くの特定の問題を見つけました。この質問は、特定のアプリケーションではなく、アプローチとセキュリティに関連しています。お時間をいただきありがとうございます。

答え1

バインディングを使用できますクエリに使用されるソースポートセットの制限。 DNSSecに加えて、ソースポートを制限しすぎると、偽の応答が挿入されやすくなります。

完全にロックするには、8.8.8.8 の Google 8.8.8.8 DNS サーバーなどの外部プロキシを使用できます。単一(内部)ソース。すべてのクエリに対する単一の宛先です。しかし、DNSSecについてはアドバイスをすることはできません。


参照NTP実装はポート123を送信元と宛先として使用しますが、すべての実装がこれを行うわけではありません。アップストリームサーバーを制御しない限りまだセキュリティペアリングを受信して​​いません。したがって、「十分に」信頼できるサーバーにアクセスできる必要があります。 3〜5個が最適です。確かに二つだけあるのではありません(「彼らは違うがどちらが間違っているのか」)。 Stratum 3サーバーを見つけるのはとても簡単です。 Stratum 2を見つけるのは難しくないので、よく見るとPublic Access Stratum 1も見つけることができます。 (またはGPSベースの受信機を直接実行することもできます。最近ではそれほど高価ではありません。)

関連情報