Windows 7: «la résolution du nom de l'hôte local est gérée dans DNS lui-même». Pourquoi?


44

Après 18 ans de fichiers hôtes sur Windows, j'ai été surpris de voir cela dans Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Est-ce que quelqu'un sait pourquoi ce changement a été introduit? Je suis sûr qu'il doit y avoir un bon raisonnement.

Et, peut-être plus pertinent encore, y a-t-il d' autres modifications importantes liées au DNS dans Windows 7? Cela me fait un peu peur de penser que quelque chose d'aussi fondamental que la résolution de noms localhost a changé ... me fait penser qu'il existe d'autres modifications subtiles mais importantes à la pile DNS dans Win7.


Prime ajoutée. Les spéculations sur la sécurité sont bonnes (et presque certainement correctes), mais j'espère que la prime attirera quelqu'un qui a étudié en détail les modifications du DNS Win7.
Portman

Quelqu'un peut-il expliquer comment cela est lié à cet autre problème stackoverflow.com/questions/1416128/… et quelle est la véritable solution? Je suppose que je vais commenter l'entrée ipv4 localhost dans mon fichier hôte pour l'instant.
Tyndall

Réponses:


29

J'ai vérifié avec un développeur de l'équipe Windows, et la réponse est bien plus anodine que les autres réponses à ce message :)

À l'avenir, à mesure que le monde passera d'IPV4 à IPV6, IPV4 sera éventuellement désactivé / désinstallé par les entreprises qui souhaitent simplifier la gestion de réseau dans leurs environnements.

Avec Windows Vista, lorsque IPv4 était désinstallé et que IPv6 était activé, une requête DNS pour une adresse A (IPv4) entraînait le bouclage IPv4 (provenant du fichier hosts). Bien entendu, cela posait problème lorsque IPv4 n’était pas installé. Le correctif consistait à déplacer les entrées de bouclage IPv4 et IPv6 toujours présentes de l'hôte dans le résolveur DNS, où elles pouvaient être désactivées indépendamment.

-Sean


1
si vous avez un lien direct vers l'équipe de Windows, pouvez - vous s'il vous plaît les obtenir pour vous assurer NSEC3 est pris en charge? La validation DNSSEC sans NSEC3 va être inutile! Je sais pertinemment que .com utilisera NSEC3 lors de sa signature en 2011.
Alnitak,

(c'est-à-dire dans le résolveur de talons de validation).
Alnitak

9 ans et demi plus tard et toujours en IPv4 :)
Christian,

7

Windows 7 introduit la prise en charge (facultative) de la validation DNSSEC . Les contrôles peuvent être trouvés sous "Stratégie de résolution de nom" dans le plugin "Stratégie de groupe locale" ( c:\windows\system32\gpedit.msc)

Malheureusement, il (AFAIK) ne prend pas en charge les enregistrements RFC 5155 NSEC3 , que beaucoup d’opérateurs de grande zone (y compris .com) utiliseront lorsqu’ils utiliseront DNSSEC au cours des deux prochaines années.


Je partage une relation avec l'implémentation DNSSEC: news.softpedia.com/news/… .
aharden

5

Etant donné que de plus en plus d'applications sur Windows utilisent IP pour se parler à eux-mêmes, y compris probablement un certain nombre de services Windows, je pourrais voir une personne changer d’hôte local pour pointer ailleurs comme un vecteur d’attaque intéressant. Je suppose que cela a été modifié dans le cadre de SDL de Microsoft .


3

Je peux voir cela aussi comme une tentative de renforcer leur sécurité. En "réparant" localhost pour qu'il pointe toujours vers le bouclage, ils peuvent éviter les attaques d'empoisonnement du DNS, qui commencent à apparaître dans la nature.

Je suis d'accord cependant, c'est un peu dérangeant à certains niveaux ...


2

Je serais curieux de savoir si on peut redéfinir localhost dans le DNS même. L'utilisation de fichiers texte clairs pour gérer ces paramètres n'aurait jamais été considérée comme une meilleure pratique de sécurité. Il me semble que les nouvelles mesures de sécurité de Microsoft vont au-delà de la prévention de l’accès root et s’intéressent davantage aux vulnérabilités nuancées. Je ne sais pas à quel point on peut garder une longueur d'avance sur les chapeaux noirs motivés, peu importe.


1
localhost est juste un autre enregistrement A dans votre zone, c'est seulement la convention qui le dirige vers 127.0.0.1. Alors oui, vous pouvez pointer localhost sur ce que vous voulez, et si un attaquant peut prendre le contrôle du serveur DNS, il peut modifier cet enregistrement pour tout le réseau d'ordinateurs W7 plutôt que pour un seul avec un fichier hosts. C'est un problème notoire pour les serveurs racine DNS que les gens n'incluent pas d'enregistrement localhost A dans leur zone. La demande est donc envoyée à la racine: bit.ly/ybu1a
Cawflands

2

Je pense que cela a quelque chose à voir avec l’implémentation par Microsoft de la RFC 3484 pour la sélection de l’adresse IP de destination. Il s'agit d'une fonctionnalité IPv6 rétroportée sur IPv4 et concerne Vista / Server 2008 et les versions ultérieures. Cette modification annule le DNS à la ronde, donc même si cela ne répond pas à votre question, il s'agit certainement d'un changement DNS majeur à connaître.

Plus d'informations sur le blog Microsoft Enterprise Networking .


+1 pour le lien vers le blog de réseau; Je n'avais jamais vu ça auparavant.
Portman
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.