[vpsFree.cz: community-list] Doporucene nastaveni: Ochrana DNS pred zneuzitim k amplification utoku

Tomas Srnka tomas.srnka at gmail.com
Tue Jul 24 11:57:14 CEST 2012


Ahojte,

dnes vysiel clanok na rootovi ako si zabezpecit DNS
(http://www.root.cz/clanky/zabezpecte-svuj-dns-server/) - vyzera to,
ze to funguje dobre a bez problemov. Kto mate cas, tak to prosim tiez
vyskusajte a poslite pripadne ako dany postup zlepsit.

Dik

2012/7/18 Radek Pilar <mrkva at mrkva.eu>:
> Zdravím,
> Psal jsem to už včera na MUCu - trochu jsem si to urovnal v hlavě a
> vyšlo z toho něco trošku rozsáhlejšího - takže to hodím sem.
> Omezovat otevřené DNS resolvery je naprostá hovadina. Proč?
> * Je to naprosto nesystémové řešení: problém je v první řadě v tom, že
> si útočník může spoofovat adresy jak chce a ISP je to ukradené.
> * Tenhle problém se zdaleka netýká rekurzivních serverů. Dřív nebo
> později někdo začne využívat i autoritativní servery - holt útočník bude
> v databázi krom IP adres serverů i na co se ptát - nějaký hezký SSHFP
> nebo TXT záznam. A chudáci co provozují DNSSEC. Pak vypneme DNS úplně?
> * Veřejně dostupné rekurzivní resolvery provozuje např. Google, OpenDNS,
> Symantec a *nikomu* to nevadí.
>
> P.S.: Fakt by mě zajímalo o co Masteru jde - jestli je to technické nebo
> manažerské (tisková zpráva typu "máme síť kterou nikdo k DDoS
> nepoužívá") rozhodnutí. Je fajn, že chtějí nějaké řešení, ale v tomhle
> případě IMHO brečí na špatném hrobě.
>
> Mrkva
> On 18.7.2012 15:40, Pavel Snajdr wrote:
>> Ahojte vespolek,
>>
>> lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
>> jsou pak pouzivany k DDoS utokum.
>>
>> Popis, co je DNS amplification attack, najdete tady:
>>
>> http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
>>
>> V cestine je o nem zminka napriklad tady:
>>
>> http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-typy/
>> (ke konci clanku)
>>
>> ** Co s tim **
>>
>> V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
>>
>> Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
>> vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
>> beznemu prekladani pro klienty.
>>
>> Autoritativni servery nechame stranou, tam se nejde branit v podstate
>> jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
>> pouzivaji rekurzivni DNS servery.
>>
>> Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
>> dovolite rekurzivni dotazovani.
>>
>> Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
>> to jenom silne doporuceni.
>>
>> Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
>> tak k mensi spotrebe antidepresiv :)
>>
>> Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
>>
>> Obsah /etc/bind/named.conf.options :
>>
>> acl "allowrecursion" {
>>         ::1/128;                // Internal network
>>         127.0.0.0/8;            // Internal network
>>         172.16.0.0/12;          // Internal network
>>         77.93.223.0/24;         // vpsFree.cz Master Internet Praha
>>         83.167.228.0/25;        // vpsFree.cz Master Internet Praha
>>         77.93.197.0/24;         // vpsFree.cz Master Internet Praha -
>> legacy
>>         2a01:430:17::/48;       // vpsFree.cz Master Internet Praha
>>         37.205.8.0/21;          // Relbit RIPE allocation
>>         2a00:cb40::/32;         // Relbit RIPE allocation
>> };
>>
>> options {
>>         directory "/var/cache/bind";
>>
>>         auth-nxdomain no;
>>         listen-on-v6 { any; };
>>         allow-query { "allowrecursion"; };
>> };
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>



More information about the Community-list mailing list