[vpsFree.cz: community-list] Doporucene nastaveni: Ochrana DNS pred zneuzitim k amplification utoku
Radek Pilar
mrkva at mrkva.eu
Wed Jul 18 18:31:04 CEST 2012
Zdravím,
Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a
vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem.
Omezovat otevřené DNS resolvery je naprostá hovadina. Proč?
* Je to naprosto nesystémové řešení: problém je v první řadě v tom, že
si útočník může spoofovat adresy jak chce a ISP je to ukradené.
* Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo
později někdo začne využívat i autoritativní servery - holt útočník bude
v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP
nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně?
* Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS,
Symantec a *nikomu* to nevadí.
P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo
manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS
nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle
případě IMHO brečí na špatném hrobě.
Mrkva
On 18.7.2012 15:40, Pavel Snajdr wrote:
> Ahojte vespolek,
>
> lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
> jsou pak pouzivany k DDoS utokum.
>
> Popis, co je DNS amplification attack, najdete tady:
>
> http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
>
> V cestine je o nem zminka napriklad tady:
>
> http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-typy/
> (ke konci clanku)
>
> ** Co s tim **
>
> V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
>
> Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
> vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
> beznemu prekladani pro klienty.
>
> Autoritativni servery nechame stranou, tam se nejde branit v podstate
> jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
> pouzivaji rekurzivni DNS servery.
>
> Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
> dovolite rekurzivni dotazovani.
>
> Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
> to jenom silne doporuceni.
>
> Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
> tak k mensi spotrebe antidepresiv :)
>
> Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
>
> Obsah /etc/bind/named.conf.options :
>
> acl "allowrecursion" {
> ::1/128; // Internal network
> 127.0.0.0/8; // Internal network
> 172.16.0.0/12; // Internal network
> 77.93.223.0/24; // vpsFree.cz Master Internet Praha
> 83.167.228.0/25; // vpsFree.cz Master Internet Praha
> 77.93.197.0/24; // vpsFree.cz Master Internet Praha -
> legacy
> 2a01:430:17::/48; // vpsFree.cz Master Internet Praha
> 37.205.8.0/21; // Relbit RIPE allocation
> 2a00:cb40::/32; // Relbit RIPE allocation
> };
>
> options {
> directory "/var/cache/bind";
>
> auth-nxdomain no;
> listen-on-v6 { any; };
> allow-query { "allowrecursion"; };
> };
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
A non-text attachment was scrubbed...
Name: 0xE60DBF0D.asc
Type: application/pgp-keys
Size: 6452 bytes
Desc: not available
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20120718/23bcf9c6/attachment-0002.key>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 900 bytes
Desc: OpenPGP digital signature
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20120718/23bcf9c6/attachment.sig>
More information about the Community-list
mailing list