Passa al contenuto principale

10. Considerazioni sulla Sicurezza (Security Considerations)

Alcuni operatori di server DNS hanno espresso preoccupazione per il fatto che una più ampia promozione e utilizzo di DNS su TCP li esporrà a un rischio più elevato di attacchi DoS su TCP (sia accidentali che deliberati).

Sebbene esista un rischio maggiore di alcuni attacchi specifici contro i server abilitati TCP, le tecniche per la mitigazione degli attacchi DoS a livello di rete sono migliorate sostanzialmente da quando il DNS è stato progettato per la prima volta.

Si consiglia ai lettori di familiarizzare con [CPNI-TCP], una valutazione della sicurezza di TCP che descrive in dettaglio gli attacchi TCP noti e le contromisure e che fa riferimento alla maggior parte delle RFC pertinenti su questo argomento.

Per mitigare il rischio di attacchi DoS, si consiglia ai server DNS di impegnarsi nella gestione della connessione TCP. Ciò potrebbe includere il mantenimento dello stato sulle connessioni esistenti, il riutilizzo delle connessioni esistenti e il controllo delle code di richiesta per consentire un uso equo. È probabile che sia vantaggioso fornire opzioni di gestione della connessione configurabili, ad esempio:

  • numero totale di connessioni TCP

  • numero massimo di connessioni TCP per indirizzo IP di origine o sottorete

  • timeout di inattività della connessione TCP

  • numero massimo di transazioni DNS per connessione TCP

  • durata massima della connessione TCP

Non sono raccomandati valori specifici per questi parametri.

Si consiglia agli operatori di familiarizzare con i parametri di configurazione e ottimizzazione disponibili nello stack TCP del sistema operativo. Tuttavia, consigli dettagliati su questo non rientrano nell'ambito di questo documento.

Si consiglia agli operatori di server ricorsivi di assicurarsi di accettare solo connessioni da client previsti (ad esempio, mediante l'uso di un elenco di controllo degli accessi (ACL)) e di non accettarle da fonti sconosciute. Nel caso del traffico UDP, ciò aiuterà a proteggere dagli attacchi di riflessione [RFC5358]; e nel caso del traffico TCP, impedirà a un client sconosciuto di esaurire i limiti del server sul numero di connessioni simultanee.

Ultimo aggiornamento il