Windows 7: „Rozpoznawanie nazw hosta lokalnego jest obsługiwane przez sam DNS”. Dlaczego?

44

Po 18 latach plików hostów w systemie Windows byłem zaskoczony, widząc to w kompilacji 7100 systemu Windows 7:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Czy ktoś wie, dlaczego wprowadzono tę zmianę? Jestem pewien, że musi być jakieś uzasadnienie.

A może bardziej istotne są jakieś inne ważne zmiany związane z DNS w Windows 7? Trochę mnie przeraża myśl, że zmieniło się coś tak fundamentalnego jak rozpoznawanie nazw hostów lokalnych ... powoduje, że myślę o innych subtelnych, ale ważnych zmianach w stosie DNS w Win7.

Portman
źródło
Dodano nagrodę. Spekulacje na temat bezpieczeństwa są dobre (i prawie na pewno poprawne), ale mam nadzieję, że nagroda przyciągnie kogoś, kto szczegółowo przestudiował zmiany w Win7.
Portman
Czy ktoś może wyjaśnić, w jaki sposób jest to związane z tym innym problemem stackoverflow.com/questions/1416128/... i jaka jest prawdziwa poprawka? Chyba na razie cofnę komentarz do wpisu localhost ipv4 w moim pliku hosta.
Tyndall

Odpowiedzi:

29

Sprawdziłem z deweloperem w zespole systemu Windows, a faktyczna odpowiedź jest o wiele bardziej nieszkodliwa niż inne odpowiedzi na ten post :)

W pewnym momencie w przyszłości, gdy świat przejdzie z IPV4 na IPV6, IPV4 zostanie ostatecznie wyłączony / odinstalowany przez firmy, które chcą uprościć zarządzanie siecią w swoich środowiskach.

W systemie Windows Vista, gdy odinstalowano IPv4 i włączono IPv6, zapytanie DNS dla adresu A (IPv4) spowodowało sprzężenie zwrotne IPv4 (pochodzące z pliku hosts). To oczywiście spowodowało problemy, gdy IPv4 nie został zainstalowany. Rozwiązaniem było przeniesienie zawsze obecnych pozycji sprzężenia zwrotnego IPv4 i IPv6 z hosta do programu rozpoznawania nazw DNS, gdzie można je niezależnie wyłączyć.

-Sean

Sean Earp
źródło
1
jeśli masz bezpośredni link do zespołu Windows można podobać się im upewnić NSEC3 jest obsługiwany? Walidacja DNSSEC bez NSEC3 będzie bezużyteczna! Wiem na pewno, że .com użyje NSEC3, kiedy zostanie podpisany w 2011 roku.
Alnitak
(to znaczy w sprawdzającym kodzie tłumaczącym).
Alnitak
9 1/2 lat później i nadal używa IPv4 :)
Christian
7

Windows 7 wprowadza (opcjonalnie) obsługę sprawdzania poprawności DNSSEC . Kontrolki można znaleźć w „Polityce rozpoznawania nazw” we wtyczce „Lokalne zasady grupy” ( c:\windows\system32\gpedit.msc)

Niestety nie obsługuje (AFAIK) rekordów RFC 5155 NSEC3 , z których będzie korzystać wielu operatorów dużych stref (w tym .com), kiedy będą korzystać z DNSSEC w ciągu najbliższych kilku lat.

Alnitak
źródło
Drugi związek z implementacją DNSSEC: news.softpedia.com/news/… .
aharden
5

Biorąc pod uwagę, że coraz więcej aplikacji w systemie Windows używa adresu IP, aby rozmawiać ze sobą, prawdopodobnie obejmując szereg usług Windows, widziałem, jak ktoś zmienia hosta lokalnego, aby wskazywał gdzie indziej jako interesujący wektor ataku. Domyślam się, że został zmieniony w ramach SDL Microsoftu .

WaldenL
źródło
3

Widzę, że jest to także próba wzmocnienia ich bezpieczeństwa. „Naprawiając” localhost, aby zawsze wskazywał na sprzężenie zwrotne, mogą uniknąć ataków zatruwających DNS, które zaczynają się pojawiać na wolności.

Zgadzam się jednak, na niektórych poziomach jest to trochę niepokojące ...

Avery Payne
źródło
2

Byłbym ciekawy, czy można przedefiniować localhost w samym DNS. Użycie czystych plików tekstowych do zarządzania tymi ustawieniami nigdy nie mogło być uważane za najlepszą praktykę bezpieczeństwa. Wydaje mi się, że nowe środki bezpieczeństwa Microsoftu wykraczają poza zapobieganie dostępowi do roota i sięgają głębiej w niuansowe luki w zabezpieczeniach. Nie jestem pewien, jak bardzo można wyprzedzić zmotywowane czarne czapki, niezależnie od tego.

EnocNRoll - Ananda Gopal
źródło
1
localhost to po prostu kolejny rekord A w twojej strefie, to tylko konwencja, która wskazuje go na 127.0.0.1. Tak, więc możesz wskazać localhost dowolnie, a jeśli atakujący może przejąć kontrolę nad serwerem DNS, może zmienić ten rekord dla całej sieci komputerów W7, a nie tylko z plikiem hostów. Jest to notoryczny problem dla serwerów głównych DNS, że ludzie nie zawierają rekordu lokalnego hosta A w swojej strefie, więc żądanie zostaje wysłane do katalogu głównego: bit.ly/ybu1a
Cawflands
2

Myślę, że ma to coś wspólnego z Microsoftem implementującym RFC 3484 do wyboru docelowego adresu IP. Jest to funkcja IPv6 przeniesiona z powrotem do IPv4 i wpływa na system Vista / Server 2008 i nowsze wersje. Ta zmiana łamie cały robin DNS, więc nawet jeśli to nie odpowiada na twoje pytanie, to zdecydowanie ważna zmiana DNS, o której warto wiedzieć.

Więcej informacji na blogu Microsoft Enterprise Networking .

duffbeer703
źródło
+1 za link do bloga sieciowego; Nie widziałem tego wcześniej.
Portman