+ Responder ao Tópico



  1. #1

    Padrão segurança no named

    como posso implementar segurança no meu dns,
    uso bind

    falow...

  2. #2



  3. #3

    Padrão segurança no named

    valew,

    então o meu já está seguro....

    uso o bind no cenário chroot

    valew ....

  4. #4

    Padrão segurança no named

    depende, que nivel de seguranca voce quer? voce permite dynamic updates? o bind com chroot eh uma boa mas nao eh soh isso nao.

    por exemplo? voce permite recursao a qualquer um? zone transfers? voce oculta a versao do bind? dentre outras perguntas... tudo dependendo do que voce acredita como "seguranca".

    Se estiver citando apenas o ponto de alguem usar alguma vulnerabilidade (atualmente inexistente a publico) para entrar na maquina ele cairia na 'jail' e nao tera acesso ao resto do sistema, isso garante a seguranca da maquina se um servidor for comprometido mas a nao a seguranca do bind? entendeu a diferenca?

    Espero que exponha melhor seu cenario de duvidas.



  5. #5

    Padrão segurança no named

    Outra coisa q vc tem q prestar atenção é onde o seu bind esta escutando se é em todas as interfaces ou somentes nas necessarias!!..
    com o listen on!!!.
    flw
    T+

  6. #6

    Padrão segurança no named

    Pessoal aproveitando o gancho sobre o bind, estou com um problema de segurança no meu e gostaria de saber como resolver... O que acontece é que meu DNS resolve pra qualquer host externo da Internet, ou seja o cara de inferno coloca meu dns 200.xxx.xxx.xxx e consegue navegar blza... ja tentei fazer um bloqueio da porta 53 na eth1 ( Link ) mas não adiantou, pois tbm ficou bloqueado para navegação dos hosts internos, como proceder de forma correta??
    ops: ops: ops:



  7. #7

    Padrão segurança no named

    Citação Postado originalmente por Michael
    Pessoal aproveitando o gancho sobre o bind, estou com um problema de segurança no meu e gostaria de saber como resolver... O que acontece é que meu DNS resolve pra qualquer host externo da Internet, ou seja o cara de inferno coloca meu dns 200.xxx.xxx.xxx e consegue navegar blza... ja tentei fazer um bloqueio da porta 53 na eth1 ( Link ) mas não adiantou, pois tbm ficou bloqueado para navegação dos hosts internos, como proceder de forma correta??
    ops: ops: ops:
    Supondo que suas regras padrões são DROP

    Código :
    iptables -A INPUT -s faixa_ip_rede_interna -p udp --dport 53 -j ACCEPT

    Assim vc aceita conexões na porta 53 somente daquilo que vem dos hosts da sua rede.

  8. #8

    Padrão segurança no named

    configure o allow-recursion, como por exemplo:


    no options {} (ou na zona se for mais "especifico")


    allow-recursion {
    10.0.0.0/8;
    };

    que ai somente quem voce quer vai poder usar seu dns para resolver nomes, e o allow-query vai permitir o query ao seu dns server (para as zonas que voce é dono)



  9. #9

    Padrão segurança no named

    Citação Postado originalmente por mistymst
    configure o allow-recursion, como por exemplo:


    no options {} (ou na zona se for mais "especifico")


    allow-recursion {
    10.0.0.0/8;
    };

    que ai somente quem voce quer vai poder usar seu dns para resolver nomes, e o allow-query vai permitir o query ao seu dns server (para as zonas que voce é dono)
    mistymst
    To tenso com isso ainda não deu certo, adicionei essas linhas ao meu named mas de nada adiantou, a unica forma que consegui como citei antes via iptables, mas ai eu não consegui que meus clientes resolvam,
    e tenho nos clientes varias classes de Ips
    192.166.
    192.164.
    192.168.
    192.165.
    etc...

    No meu named coloquei 192.0.0.0/8 conforme vc mensionou, mas não deu certo, Hosts de fora continuam conseguindo resolver com meu DSN...

  10. #10

    Padrão segurança no named

    Bom... liberar a /8 toda é complicado, afinal os IPs privado sao apenas 192.168.0.0-192.168.255.255 para os enderecos se nao me engando (maldita memoria que nao liembra de todas as RFCs...)

    bom me mostre lá o seu named.conf que ai sim da para ter dar um help melhor



  11. #11

    Padrão segurança no named

    Cara vc ja testou bloquear a reolução de nomes p/ fora e somente liberar p/ sua rede interna?!?!?.
    Nw vejo forma amsi facil do q isso!!...

  12. #12

    Padrão segurança no named

    Citação Postado originalmente por mistymst
    Bom... liberar a /8 toda é complicado, afinal os IPs privado sao apenas 192.168.0.0-192.168.255.255 para os enderecos se nao me engando (maldita memoria que nao liembra de todas as RFCs...)

    bom me mostre lá o seu named.conf que ai sim da para ter dar um help melhor
    Ola mistymst veja o meu named como está!!!

    // This is the primary configuration file for the BIND DNS server named.
    //
    // Please read /usr/share/doc/bind/README.Debian for information on the
    // structure of BIND configuration files in Debian for BIND versions 8.2.1
    // and later, *BEFORE* you customize this configuration file.
    //

    allow-recursion {
    192.0.0.0/8;
    };

    include "/etc/bind/named.conf.options";

    // reduce log verbosity on issues outside our control
    logging {
    category lame-servers { null; };
    category cname { null; };
    };

    // prime the server with knowledge of the root servers
    zone "." {
    type hint;
    file "/etc/bind/db.root";
    };

    // be authoritative for the localhost forward and reverse zones, and for
    // broadcast zones as per RFC 1912

    zone "localhost" {
    type master;
    file "/etc/bind/db.local";
    };

    zone "127.in-addr.arpa" {
    type master;
    file "/etc/bind/db.127";
    };

    zone "0.in-addr.arpa" {
    type master;
    file "/etc/bind/db.0";
    };

    zone "255.in-addr.arpa" {
    type master;
    file "/etc/bind/db.255";
    };

    zone "serversat01.com.br" {
    type master;
    file "/etc/bind/serversat01.com.br.db";
    };

    zone "xxx.xxx.xxx.200.in-addr.arpa" {
    type master;
    file "/etc/bind/serversat01.com.br.rev";
    };

    // add local zone definitions here
    include "/etc/bind/named.conf.local";


    Com relação aos IP´s meu problema é que tenho mais de 254 hosts, e então tive que criar mais classes alem de 192.168.0.0
    192.166
    192.165
    192.164 etc...

    Detalhe... Esse dominio serversat01.com.br eu não utilizo ele, pois preciso de DNS apenas para resolver nomes para clientes navegarem, minha hospedagem está em um datacenter, pois as vezes perdia muito tempo pra dar manutenção em servidor de e-mail etc... ai preferi locar um datacenter...!!