+ Responder ao Tópico



  1. #1

    Padrão DNS recursivo aberto

    Tenho um servidor Fedora Core 5 com bind9.
    Hoje recebi uma mensagem do site CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil dizendo que o meu servidor bind9 esta rodando com DNS recursivo aberto, permitindo ataques remotos.

    Foi sugerido que eu colocasse da segte forma dentro de options no named.conf (vide http://www.cert.br/docs/whitepapers/...sivo-aberto/):
    recursion no;
    additional-from-auth no;
    additional-from-cache no;

    Apos colocar isso, os usuarios da rede local pararam de navegar, porque o servidor DNS nao quer mais fazer traducoes de nomes/IPs. Observei que tem um esquema para colocar faixas de IPs que podem usar o DNS.

    Mas tenho um problema: muitos usuarios deste servidor DNS estao fora da empresa, em filiais, que usam acessos discados ou ADSL residencial, ou seja, tem IPs dinamicos. Como eu poderia resolver este problema?

  2. #2

    Padrão

    faça views...

    em breve vou escrever um artigo sobre isto..

    por enquanto acho que vc pode fazer assim


    coloque dentro do options:

    allow-recursion { 127.0.0.1; 192.168.0.0/24; };

    coloque as redes e/ou ips que possam fazer consultas recursivas em seu servidor.. isso ja previne que os nao listados o usem...

    o artigo sera publicado no wiki aqui do under-linux..

    ja adiantando os topicos:

    - named rodando em jail (chroot)
    - porque usar views e o que sao.
    - como usar views
    - log detalhado
    - protecao contra spoof
    - protecao contra open relay (recursivo aberto)
    - como configurar as zonas (internas e externas)
    - como configurar servidor master
    - como configurar servidor slave
    - zonas reversas

    .. sao alguns dos topicos q vou abordar .. (so esta faltando um pouco de tempo para começar)




  3. #3

    Padrão

    Mas neste caso, supondo que as filiais estejam em outros estados com acesso discado ou ADSL residencial (ou seja, IPs dinamicos), é melhor eu desistir de usar nos PCs delas o DNS da matriz, e passar a usar o DNS do provedor local das mesmas, certo?

  4. #4

    Padrão

    Correto, a menos que voce precise REALMENTE usar esse DNS da matriz para realizar alguma tradução que outro DNS nao possa fazer (como um DNS interno). Aconselho voce a usar VPN para integrar essas redes, dependendo muito do que voce trafega isso pode vir a ser uma necessidade ou nao.