Mereka memblokirnya, karena mereka dapat dan itu adalah kebijakan keamanan yang masuk akal.
Masalahnya seringkali lebih serius daripada memiliki resolvers terbuka yang potensial - pada akhirnya, tidak masalah mengatur server DNS dengan aman, tanpa resolvers terbuka, dengan langkah-langkah anti-DDOS ketika server atau mesin apa pun dengan layanan DNS diinstal secara tidak sengaja , dan melakukan permintaan penerusan DNS ke server DNS utama akan memungkinkan penyerang untuk melewati pembatasan lalu lintas dan pembatasan keamanan yang diterapkan pada server DNS Anda.
Permintaan juga akan muncul berasal dari infrastruktur internal, dan dapat memaparkan nama-nama internal DNS, dan rincian yang tidak diinginkan dari organisasi internal / jaringan / pengalamatan IP.
Juga, sesuai aturan keamanan jaringan, semakin sedikit jumlah layanan dan layanan yang Anda paparkan ke luar, semakin sedikit kemungkinan mereka dikompromikan dan digunakan sebagai titik masuk untuk meningkatkan serangan pada infrastruktur Anda dari dalam.
Why would a university block incoming UDP traffic with destination port 53?
- Kenapa tidak? Atau dengan kata lain: Mengapa mereka mengizinkan lalu lintas UDP (atau TCP) masuk dengan port tujuan 53 untuk transit jaringan / firewall masuk kecuali untuk mendapatkan ke server nama otoritatif untuk nama domain publik jika nama server tersebut di-host di jaringan universitas internal?