[vpsFree.cz: community-list] Doporucene nastaveni: Ochrana DNS pred zneuzitim k amplification utoku

Radek Pilar mrkva at mrkva.eu
Wed Jul 18 18:31:04 CEST 2012


Zdravím,
Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a
vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem.
Omezovat otevřené DNS resolvery je naprostá hovadina. Proč?
* Je to naprosto nesystémové řešení: problém je v první řadě v tom, že
si útočník může spoofovat adresy jak chce a ISP je to ukradené.
* Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo
později někdo začne využívat i autoritativní servery - holt útočník bude
v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP
nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně?
* Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS,
Symantec a *nikomu* to nevadí.

P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo
manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS
nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle
případě IMHO brečí na špatném hrobě.

Mrkva
On 18.7.2012 15:40, Pavel Snajdr wrote:
> Ahojte vespolek,
> 
> lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
> jsou pak pouzivany k DDoS utokum.
> 
> Popis, co je DNS amplification attack, najdete tady:
> 
> http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
> 
> V cestine je o nem zminka napriklad tady:
> 
> http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-typy/
> (ke konci clanku)
> 
> ** Co s tim **
> 
> V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
> 
> Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
> vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
> beznemu prekladani pro klienty.
> 
> Autoritativni servery nechame stranou, tam se nejde branit v podstate
> jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
> pouzivaji rekurzivni DNS servery.
> 
> Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
> dovolite rekurzivni dotazovani.
> 
> Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
> to jenom silne doporuceni.
> 
> Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
> tak k mensi spotrebe antidepresiv :)
> 
> Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
> 
> Obsah /etc/bind/named.conf.options :
> 
> acl "allowrecursion" {
>         ::1/128;                // Internal network
>         127.0.0.0/8;            // Internal network
>         172.16.0.0/12;          // Internal network
>         77.93.223.0/24;         // vpsFree.cz Master Internet Praha
>         83.167.228.0/25;        // vpsFree.cz Master Internet Praha
>         77.93.197.0/24;         // vpsFree.cz Master Internet Praha -
> legacy
>         2a01:430:17::/48;       // vpsFree.cz Master Internet Praha
>         37.205.8.0/21;          // Relbit RIPE allocation
>         2a00:cb40::/32;         // Relbit RIPE allocation
> };
> 
> options {
>         directory "/var/cache/bind";
> 
>         auth-nxdomain no;
>         listen-on-v6 { any; };
>         allow-query { "allowrecursion"; };
> };
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
A non-text attachment was scrubbed...
Name: 0xE60DBF0D.asc
Type: application/pgp-keys
Size: 6452 bytes
Desc: not available
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20120718/23bcf9c6/attachment-0002.key>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 900 bytes
Desc: OpenPGP digital signature
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20120718/23bcf9c6/attachment.sig>


More information about the Community-list mailing list