- DNS recursivo aberto
+ Responder ao Tópico
-
DNS recursivo aberto
Tenho um servidor Fedora Core 5 com bind9.
Hoje recebi uma mensagem do site CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil dizendo que o meu servidor bind9 esta rodando com DNS recursivo aberto, permitindo ataques remotos.
Foi sugerido que eu colocasse da segte forma dentro de options no named.conf (vide http://www.cert.br/docs/whitepapers/...sivo-aberto/):
recursion no;
additional-from-auth no;
additional-from-cache no;
Apos colocar isso, os usuarios da rede local pararam de navegar, porque o servidor DNS nao quer mais fazer traducoes de nomes/IPs. Observei que tem um esquema para colocar faixas de IPs que podem usar o DNS.
Mas tenho um problema: muitos usuarios deste servidor DNS estao fora da empresa, em filiais, que usam acessos discados ou ADSL residencial, ou seja, tem IPs dinamicos. Como eu poderia resolver este problema?
-
faça views...
em breve vou escrever um artigo sobre isto..
por enquanto acho que vc pode fazer assim
coloque dentro do options:
allow-recursion { 127.0.0.1; 192.168.0.0/24; };
coloque as redes e/ou ips que possam fazer consultas recursivas em seu servidor.. isso ja previne que os nao listados o usem...
o artigo sera publicado no wiki aqui do under-linux..
ja adiantando os topicos:
- named rodando em jail (chroot)
- porque usar views e o que sao.
- como usar views
- log detalhado
- protecao contra spoof
- protecao contra open relay (recursivo aberto)
- como configurar as zonas (internas e externas)
- como configurar servidor master
- como configurar servidor slave
- zonas reversas
.. sao alguns dos topicos q vou abordar .. (so esta faltando um pouco de tempo para começar)
-
Mas neste caso, supondo que as filiais estejam em outros estados com acesso discado ou ADSL residencial (ou seja, IPs dinamicos), é melhor eu desistir de usar nos PCs delas o DNS da matriz, e passar a usar o DNS do provedor local das mesmas, certo?
-
Correto, a menos que voce precise REALMENTE usar esse DNS da matriz para realizar alguma tradução que outro DNS nao possa fazer (como um DNS interno). Aconselho voce a usar VPN para integrar essas redes, dependendo muito do que voce trafega isso pode vir a ser uma necessidade ou nao.