Windows 7: "la resolución de nombres de host local se maneja dentro del mismo DNS". ¿Por qué?

44

Después de 18 años de archivos de hosts en Windows, me sorprendió ver esto en Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

¿Alguien sabe por qué se introdujo este cambio? Estoy seguro de que tiene que haber algún tipo de razonamiento amable.

Y, quizás más relevante, ¿hay otros cambios importantes relacionados con DNS en Windows 7? Me asusta un poco pensar que algo tan fundamental como la resolución de nombres de host local ha cambiado ... me hace pensar que hay otros cambios sutiles pero importantes en la pila de DNS en Win7.

domain-name-system windows-7 Portman
fuente
Recompensa añadida. La especulación sobre la seguridad es buena (y casi con toda seguridad correcta), pero espero que la recompensa atraiga a alguien que haya estudiado los cambios de Win7 DNS en detalle.
Portman
¿Alguien puede explicar cómo se relaciona esto con este otro problema stackoverflow.com/questions/1416128/… y cuál es la verdadera solución? Supongo que voy a descomentar la entrada localhost de ipv4 en mi archivo de host por ahora.
Tyndall

Respuestas:

29

Verifiqué con un desarrollador del equipo de Windows, y la respuesta real es mucho más inocuo que las otras respuestas a esta publicación :)

En algún momento en el futuro, a medida que el mundo pase de IPV4 a IPV6, IPV4 eventualmente será deshabilitado / desinstalado por compañías que desean simplificar la administración de la red en sus entornos.

Con Windows Vista, cuando se desinstaló IPv4 y se habilitó IPv6, una consulta DNS para una dirección A (IPv4) resultó en el bucle invertido de IPv4 (que provenía del archivo de hosts). Esto, por supuesto, causó problemas cuando no se instaló IPv4. La solución fue mover las entradas de bucle invertido IPv4 e IPv6 siempre presentes desde el host al solucionador DNS, donde podrían desactivarse de forma independiente.

-Sean

Sean Earp
fuente
1
si tiene un enlace directo al equipo de Windows, ¿ puede obtenerlos para asegurarse de que NSEC3 sea compatible? ¡La validación de DNSSEC sin NSEC3 será inútil! Sé a ciencia cierta que .com usará NSEC3 cuando se firme en algún momento de 2011.
Alnitak
(en la resolución del stub de validación, eso es).
Alnitak
9 1/2 años después y todavía usa IPv4 :)
Christian
7

Windows 7 presenta soporte (opcional) para la validación DNSSEC . Los controles se pueden encontrar en "Política de resolución de nombres" en el complemento "Política de grupo local" ( c:\windows\system32\gpedit.msc)

Desafortunadamente, no admite (AFAIK) los registros RFC 5155 NSEC3 , que muchos operadores de zonas grandes (incluido .com) utilizarán cuando se activen con DNSSEC en los próximos años.

Alnitak
fuente
Secundo una relación con la implementación de DNSSEC: news.softpedia.com/news/… .
aharden
5

Dado que cada vez más aplicaciones en Windows están usando IP para responder a sí mismas, probablemente incluyendo una serie de servicios de Windows, podría ver a alguien cambiando localhost para señalar en otro lugar como un vector de ataque interesante. Supongo que se cambió como parte del SDL de Microsoft .

WaldenL
fuente
3

Puedo ver que esto también es un intento de apuntalar su seguridad. Al "arreglar" localhost para que siempre apunte al loopback, pueden evitar ataques de envenenamiento de DNS, que están comenzando a aparecer en la naturaleza.

Sin embargo, estoy de acuerdo, es un poco inquietante en algunos niveles ...

Avery Payne
fuente
2

Sin embargo, me gustaría saber si se puede redefinir localhost en DNS. El uso de archivos de texto claro para administrar estas configuraciones nunca podría haberse considerado una práctica recomendada de seguridad. Me parece que las nuevas medidas de seguridad de Microsoft van más allá de evitar el acceso de root y profundizan en vulnerabilidades matizadas. Sin embargo, no estoy seguro de cuánto se puede estar un paso por delante de los sombreros negros motivados.

EnocNRoll - Ananda Gopal
fuente
1
localhost es solo otro registro A en su zona, es la única convención que lo señala a 127.0.0.1. Entonces, sí, puede apuntar localhost a cualquier cosa que desee, y si un atacante puede obtener el control del servidor DNS, puede cambiar este registro para toda la red de computadoras W7 en lugar de solo uno con un archivo de hosts. Es un problema notorio para los servidores raíz DNS que las personas no incluyen un registro localhost A en su zona, por lo que la solicitud se envía a la raíz: bit.ly/ybu1a
Cawflands
2

Creo que tiene algo que ver con que Microsoft implemente RFC 3484 para la selección de la dirección IP de destino. Esta es una característica de IPv6 portada a IPv4 y afecta a Vista / Server 2008 y superior. Este cambio interrumpe el DNS de todos contra todos, por lo que incluso si esto no responde a su pregunta, definitivamente es un cambio importante de DNS que debe conocer.

Más información en el blog Microsoft Enterprise Networking .

duffbeer703
fuente
+1 para el enlace del blog de redes; No había visto eso antes.
Portman