it-swarm-es.com

Windows 7: "la resolución del nombre de host local se maneja dentro del DNS mismo". ¿Por qué?

Después de 18 años de archivos de hosts en Windows, me sorprendió ver esto en Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

¿Alguien sabe por qué se introdujo este cambio? Estoy seguro de que tiene que haber algún tipo de razonamiento amable.

Y, quizás más relevante, ¿hay algún otro cambios importantes relacionados con DNS en Windows 7? Me asusta un poco pensar que algo tan fundamental como la resolución de nombres de host local ha cambiado ... me hace pensar que hay otros cambios sutiles pero importantes en la pila de DNS en Win7.

46
Portman

Verifiqué con un desarrollador del equipo de Windows, y la respuesta real es mucho más inocua que las otras respuestas a esta publicación :)

En algún momento en el futuro, a medida que el mundo pase de IPV4 a IPV6, IPV4 eventualmente será deshabilitado/desinstalado por compañías que desean simplificar la administración de la red en sus entornos.

Con Windows Vista, cuando se desinstaló IPv4 y se habilitó IPv6, una consulta DNS para una dirección A (IPv4) resultó en el bucle invertido de IPv4 (que provenía del archivo de hosts). Esto, por supuesto, causó problemas cuando no se instaló IPv4. La solución consistía en mover las entradas de bucle de retorno IPv4 e IPv6 siempre presentes desde el Host al solucionador DNS, donde podían desactivarse de forma independiente.

-Sean

30
Sean Earp

Windows 7 presenta soporte (opcional) para DNSSEC validación. Los controles se pueden encontrar en "Política de resolución de nombres" en el complemento "Política de grupo local" (c:\windows\system32\gpedit.msc)

Desafortunadamente, no es compatible con (AFAIK) RFC 5155NSEC3 registros, que muchos operadores de zonas grandes (incluyendo .com) se utilizará cuando se publiquen con DNSSEC en los próximos años.

7
Alnitak

Dado que cada vez más aplicaciones en Windows están usando IP para responder a sí mismas, probablemente incluyendo una serie de servicios de Windows, podría ver a alguien cambiando localhost para señalar en otro lugar como un vector de ataque interesante. Mi conjetura es que se cambió como parte de Microsoft SDL .

5
WaldenL

Puedo ver que esto también es un intento de apuntalar su seguridad. Al "arreglar" localhost para que siempre apunte al loopback, pueden evitar los ataques de envenenamiento de DNS, que comienzan a aparecer en la naturaleza.

Sin embargo, estoy de acuerdo, es un poco inquietante en algunos niveles ...

3
Avery Payne

Sin embargo, me gustaría saber si se puede redefinir localhost en DNS. El uso de archivos de texto claro para administrar estas configuraciones nunca podría haberse considerado una práctica recomendada de seguridad. Me parece que las nuevas medidas de seguridad de Microsoft van más allá de evitar el acceso de root y profundizan en vulnerabilidades matizadas. Sin embargo, no estoy seguro de cuánto se puede estar un paso por delante de los sombreros negros motivados.

Creo que tiene algo que ver con que Microsoft implemente RFC 3484 para la selección de la dirección IP de destino. Esta es una característica de IPv6 portada a IPv4 y afecta a Vista/Server 2008 y superior. Este cambio interrumpe el DNS de todos contra todos, por lo que incluso si esto no responde a su pregunta, definitivamente es un cambio importante de DNS que debe conocer.

Más información en el blog Microsoft Enterprise Networking .

2
duffbeer703