+ Responder ao Tópico



  1. 14-02-2007, 18:45 #1
    Edilmar
    Edilmar está desconectado
    Avatar de Edilmar
    Ingresso
    Aug 2005
    Posts
    197

    Padrão DNS recursivo aberto

    Tenho um servidor Fedora Core 5 com bind9.
    Hoje recebi uma mensagem do site CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil dizendo que o meu servidor bind9 esta rodando com DNS recursivo aberto, permitindo ataques remotos.

    Foi sugerido que eu colocasse da segte forma dentro de options no named.conf (vide http://www.cert.br/docs/whitepapers/...sivo-aberto/):
    recursion no;
    additional-from-auth no;
    additional-from-cache no;

    Apos colocar isso, os usuarios da rede local pararam de navegar, porque o servidor DNS nao quer mais fazer traducoes de nomes/IPs. Observei que tem um esquema para colocar faixas de IPs que podem usar o DNS.

    Mas tenho um problema: muitos usuarios deste servidor DNS estao fora da empresa, em filiais, que usam acessos discados ou ADSL residencial, ou seja, tem IPs dinamicos. Como eu poderia resolver este problema?
    Citação Citação
  2. 15-02-2007, 03:00 #2
    alexandrecorrea
    alexandrecorrea está desconectado
    Moderador Avatar de alexandrecorrea
    Ingresso
    Feb 2006
    Posts
    6.273
    Posts de Blog
    24

    Padrão

    faça views...

    em breve vou escrever um artigo sobre isto..

    por enquanto acho que vc pode fazer assim


    coloque dentro do options:

    allow-recursion { 127.0.0.1; 192.168.0.0/24; };

    coloque as redes e/ou ips que possam fazer consultas recursivas em seu servidor.. isso ja previne que os nao listados o usem...

    o artigo sera publicado no wiki aqui do under-linux..

    ja adiantando os topicos:

    - named rodando em jail (chroot)
    - porque usar views e o que sao.
    - como usar views
    - log detalhado
    - protecao contra spoof
    - protecao contra open relay (recursivo aberto)
    - como configurar as zonas (internas e externas)
    - como configurar servidor master
    - como configurar servidor slave
    - zonas reversas

    .. sao alguns dos topicos q vou abordar .. (so esta faltando um pouco de tempo para começar)

    Citação Citação
  3. 15-02-2007, 09:53 #3
    Edilmar
    Edilmar está desconectado
    Avatar de Edilmar
    Ingresso
    Aug 2005
    Posts
    197

    Padrão

    Mas neste caso, supondo que as filiais estejam em outros estados com acesso discado ou ADSL residencial (ou seja, IPs dinamicos), é melhor eu desistir de usar nos PCs delas o DNS da matriz, e passar a usar o DNS do provedor local das mesmas, certo?
    Citação Citação
  4. 15-02-2007, 15:37 #4
    mistymst
    mistymst está desconectado
    Avatar de mistymst
    Ingresso
    Jan 2003
    Posts
    3.073

    Padrão

    Correto, a menos que voce precise REALMENTE usar esse DNS da matriz para realizar alguma tradução que outro DNS nao possa fazer (como um DNS interno). Aconselho voce a usar VPN para integrar essas redes, dependendo muito do que voce trafega isso pode vir a ser uma necessidade ou nao.
    Citação Citação



« Tópico Anterior | Próximo Tópico »