18 Jul
2012
18 Jul
'12
1:40 p.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-…
(ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate
jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" {
::1/128; // Internal network
127.0.0.0/8; // Internal network
172.16.0.0/12; // Internal network
77.93.223.0/24; // vpsFree.cz Master Internet Praha
83.167.228.0/25; // vpsFree.cz Master Internet Praha
77.93.197.0/24; // vpsFree.cz Master Internet Praha -
legacy
2a01:430:17::/48; // vpsFree.cz Master Internet Praha
37.205.8.0/21; // Relbit RIPE allocation
2a00:cb40::/32; // Relbit RIPE allocation
};
options {
directory "/var/cache/bind";
auth-nxdomain no;
listen-on-v6 { any; };
allow-query { "allowrecursion"; };
};
- --
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlAGvNkACgkQdh+64ds5DabXbwD8Cn0IubTZZqzOSCL/GM3XZK7S
NTDsEvSXrR5g6Ye4FRoA/0olLwvQANp4o6OrZCEwKCaAkN6Irs6jahgG5WJbBgjL
=6pWs
-----END PGP SIGNATURE-----
18 Jul
18 Jul
4:31 p.m.
Zdravím,
Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a
vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem.
Omezovat otevřené DNS resolvery je naprostá hovadina. Proč?
* Je to naprosto nesystémové řešení: problém je v první řadě v tom, že
si útočník může spoofovat adresy jak chce a ISP je to ukradené.
* Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo
později někdo začne využívat i autoritativní servery - holt útočník bude
v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP
nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně?
* Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS,
Symantec a *nikomu* to nevadí.
P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo
manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS
nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle
případě IMHO brečí na špatném hrobě.
Mrkva
On 18.7.2012 15:40, Pavel Snajdr wrote:
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-…
(ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate
jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" {
::1/128; // Internal network
127.0.0.0/8; // Internal network
172.16.0.0/12; // Internal network
77.93.223.0/24; // vpsFree.cz Master Internet Praha
83.167.228.0/25; // vpsFree.cz Master Internet Praha
77.93.197.0/24; // vpsFree.cz Master Internet Praha -
legacy
2a01:430:17::/48; // vpsFree.cz Master Internet Praha
37.205.8.0/21; // Relbit RIPE allocation
2a00:cb40::/32; // Relbit RIPE allocation
};
options {
directory "/var/cache/bind";
auth-nxdomain no;
listen-on-v6 { any; };
allow-query { "allowrecursion"; };
};
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
24 Jul
24 Jul
9:57 a.m.
Ahojte,
dnes vysiel clanok na rootovi ako si zabezpecit DNS
(http://www.root.cz/clanky/zabezpecte-svuj-dns-server/) - vyzera to,
ze to funguje dobre a bez problemov. Kto mate cas, tak to prosim tiez
vyskusajte a poslite pripadne ako dany postup zlepsit.
Dik
2012/7/18 Radek Pilar <mrkva(a)mrkva.eu>eu>:
Zdravím,
Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a
vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem.
Omezovat otevřené DNS resolvery je naprostá hovadina. Proč?
* Je to naprosto nesystémové řešení: problém je v první řadě v tom, že
si útočník může spoofovat adresy jak chce a ISP je to ukradené.
* Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo
později někdo začne využívat i autoritativní servery - holt útočník bude
v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP
nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně?
* Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS,
Symantec a *nikomu* to nevadí.
P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo
manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS
nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle
případě IMHO brečí na špatném hrobě.
Mrkva
On 18.7.2012 15:40, Pavel Snajdr wrote:
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-…
(ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate
jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" {
::1/128; // Internal network
127.0.0.0/8; // Internal network
172.16.0.0/12; // Internal network
77.93.223.0/24; // vpsFree.cz Master Internet Praha
83.167.228.0/25; // vpsFree.cz Master Internet Praha
77.93.197.0/24; // vpsFree.cz Master Internet Praha -
legacy
2a01:430:17::/48; // vpsFree.cz Master Internet Praha
37.205.8.0/21; // Relbit RIPE allocation
2a00:cb40::/32; // Relbit RIPE allocation
};
options {
directory "/var/cache/bind";
auth-nxdomain no;
listen-on-v6 { any; };
allow-query { "allowrecursion"; };
};
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
4533
days inactive
4539
days old
community-list@lists.vpsfree.cz
2 comments
3 participants
participants (3)
-
Pavel Snajdr -
Radek Pilar -
Tomas Srnka