Configure e Proteja seu Servidor DNS

[FabricioViana]

Olá a todos! Segue abaixo texto que disponibilizei no site do RadiusNet!

Um servidor Domain Name Server – DNS pode ser comparado com uma lista telefônica da internet. Quando alguém digita em seu navegador um endereço de internet, como por exemplo www.radius.net.br, é necessário descobrir o endereço de IP onde o site está hospedado. Imagina guardarmos os IPs do Facebook, Hotmail, Yahoo, etc? Impossível! Por isso existe o DNS.
O servidor DNS irá traduzir o endereço digitado para seu IP correspondente. Somente depois de obter esse IP é que a conexão realmente ocorre, ou seja, enquanto o endereço digitado pelo usuário não for traduzido para seu IP na internet a conexão não é estabelecida.


Por esse motivo é desejável que os provedores de internet procurem deixar os servidores de DNS o mais próximo possível de seus clientes. Quando o cliente digitar um endereço no navegador, tentar entrar num FTP, receber e-mails de seu servidor POP3, etc, caso o servidor DNS esteja próximo a ele, rapidamente o IP de destino será entregue à máquina do usuário e a conexão poderá então ser estabelecida.


Muitas vezes, mesmo o provedor estando com sobra de link, caso ocorra lentidão entre a requisição do usuário e a resposta do servidor DNS, a conexão parecerá lenta, fazendo com que o usuário reclame dos serviços do provedor, o que não é desejável.


Várias são as soluções para que o provedor traga o DNS para dentro de sua rede: montar um servidor DNS, Unbound ou então utilizar os recursos de DNS do próprio Mikrotik. Esta última opção será melhor detalhada nesse momento.


Para os provedores que possuem apenas um Mikrotik basta ir em IP >> DNS. Nessa tela deve colocar os dois DNSs fornecidos pela operadora e clicar em “Allow Remote Requests”. Configurar então o PPPoE Profile ou o DHCP Server para passar ao usuário o IP interno do Mikrotik. Dessa forma todos os clientes farão os pedidos de DNS para o próprio Mikrotik, que rapidamente responderá.


É interessante notar que o Mikrotik fará cache dessas requisições. Assim, quando um outro usuário solicitar o mesmo site a resposta será mais rápida ainda!


Para os provedores que possuem um Mikrotik na Internet e outros internos fazendo autenticação (PPPoE ou Hotspot servers) é interessante montar da seguinte forma:


1) Configurar o Mikrotik da Internet como descrito no parágrafo anterior (com os DNS da operadora).


2) Nos Mikrotiks internos, ir em IP >> DNS, colocar o IP interno do Mikrotik da Internet como servidor DNS e habilitar o “Allow Remote Requests”.


3) Configurar o PPPoE Profile ou o DHCP Server dos Mikrotiks internos para distribuírem como DNS server o próprio Mikrotik que os autentica.


Dessa forma, para o usuário o DNS é o Mikrotik que o autentica. Para o Mikrotik autenticador o DNS é o Mikrotik da Internet e para este o DNS da operadora.


A grande vantagem de se configurar dessa forma é que se der algum problema com o DNS da operadora, basta ir no Mikrotik da Internet e alterar os DNS. Como ele é o DNS de todos os outros equipamentos, nada mais precisará ser alterado!


Um outro ponto importantíssimo é evitar que outros usem seu Mikrotik como servidor DNS!


Quando se clicou em “Allow Remote Requests”, automaticamente o Mikrotik tornou-se disponível para ser o DNS de todo mundo, literalmente, de TODO O MUNDO!


É de extrema importância barrar/filtrar as requisições de DNS que vierem da Internet, pois só interessa servir DNS para os clientes e não para todos! Isso pode ser feito com duas regras bem simples, que serão passadas logo abaixo. Essas regras devem ser colocadas no Mikrotik que está na Internet com IP público.


/ip firewall filter add action=drop chain=input comment=”BLOQUEIA ACESSO EXTERNO AO DNS” connection-state=new dst-port=53 in-interface=ether1 protocol=udp


/ip firewall filter add action=drop chain=forward comment=”BLOQUEIA ACESSO EXTERNO AO DNS” connection-state=new dst-port=53 in-interface=ether1 protocol=udp


Coloque essas duas regras na posição 0 e 1 da tabela filter e veja como elas trabalharão muito, o que indica a grande procura por servidores abertos, feitos por BOTs na internet!


Nos dois exemplos a Internet chega pela “ether1″. A primeira regra bloqueará todas as tentativas de acesso ao DNS do próprio Mikrotik. Já a segunda regra bloqueará os acessos para os clientes de dentro de sua rede. Ela bloqueará os ataques na porta 53 UDP de seus clientes com IP público. Todavia, caso seu cliente queira ter um servidor DNS o mesmo não funcionará até que essa segunda regra seja desabilitada.


Quer testar se o DNS de seu Mikrotik está seguro? Acesse http://openresolver.com/ e coloque seu IP público. Se uma mensagem em vermelho aparecer, significa que seu DNS está aberto ao público. Se uma mensagem em verde aparecer, tudo certo!


O servidor DNS do google 8.8.8.8 é aberto ao público, faça o teste no http://openresolver.com/ com esse endereço!

*tópico original aqui.

Fabricio Viana
www.radius.net.br - Sistema de Gerenciamento para Provedores
www.vianatel.com.br - Licenças Anatel

[jodrix]

Perfeito Fabricio, ótimo post, estrelinha pra vc.

[FabianoMartins2]

Ótimo, parabéns pela iniciativa!

[gabrielest]

Muito Util mesmo,
Sugiro que os mestres continuem a tópico do colega com a descrição do DNS reverso, recursivo e autoritativo bem como suas vantagens e desvantagens.

[JOSEVAL1]

Amigo, e quando se tem um balace com 3 links, como proceder com as regras?
Att
Obrigado
Felicidades...

[FabricioViana]

Olá! Faz uma regra para cada interface, assim "fecha" tudo!

Abraco
Fabricio

[FabianoMartins2]

Olá! Faz uma regra para cada interface, assim "fecha" tudo!

Abraco
Fabricio

@FabricioViana, no caso citado pelo amigo @JOSEVAL1 não seria interessante dropar tudo (todas a portas da borda), e dai usar a exceção ! para a porta de saida p/ a rede dele ?

[FabricioViana]

Pode ser sim.

Eu prefiro deixar uma regra para cada porta de entrada pois se em algum momento tiver mais de uma porta na rede interna não estará incluída na regra.

Abraço
Fabricio

[salsa13]

Olá, realizei essas duas regras que passou e coloquei elas no 0 e 1 mas quando vou no site para checar o status, estou recebendo a mensagem que o ip está vulnerável a ataques

Porque isso acontece se eu fiz a regra conforme descrito

Consegue me ajudar?

[salsa13]

Olá, realizei essas duas regras que passou e coloquei elas no 0 e 1 mas quando vou no site para checar o status, estou recebendo a mensagem que o ip está vulnerável a ataques

Porque isso acontece se eu fiz a regra conforme descrito

Consegue me ajudar?

Ignorem pessoal. Consegui aqui. Apenas troquei a interface eth1 para a conexão interface da conexão =)