Tutorial: Como "cerrar" un servidor DNS

Datacenter1 · #1 (**permalink**) 23/03/2006, 07:00

Introducción

Recientemente se ha puesto de modo algunos nuevos tipos de ataques DDoS que involucran el uso de servidores DNS mal configurados, en este articulo diagnosticaremos nuestro servidor DNS para ver sin acepta conexiones recursivas y solucionaremos el problema.

El procedimiento aquí descrito ha sido testeado en BIND 8, pero debe trabajar sin problemas en BIND 9 también

Al asegurar tu servidor DNS obtendremos dos grandes ventajas:

Nuestro servidor no será usado en ataques (tanto directos como a terceros)
Solo responderá a dominios alojados en nuestro server lo que bajará la carga

Diagnostico

Para diagnosticar nuestro server recomiendo una excelente páina gratuita

http://www.dnsreport.com/

En el cuadro de la izquierda introduce tu dominio (sin www) y pulsa "DNS Report"

Estudia cuidadosamente la información de salida:
Un recuadro amarillo significa problemas no críticos
Un cuadro rojo significa un problema que requiere nuestra atención la linea "Open DNS servers " Si el contenido es algo como:

Cita:

ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Also, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Also, the bad guys could use your DNS server as part of an attack, by forging their IP address. Problem record(s) are:
xx.xx.xx.xx
xx.xx.xx.xx

Quiere decir que tu servidor es vulnerable, de lo contrario puedes obviar el resto de este documento.

Arreglando un Servidor DNS "abierto"

NOTA: Estas instrucciones son solo para BIND, busca en google si estás usando algún otro servidor DNS

- Logueate a tu servidor como root
- Edita el archivo /etc/named.conf con tu editor favorito ejemplo: vi /etc/named.conf
- En la parte superior del archivo (primera linea) introduce lo siguiente:

Código:

acl local-net-addrs { 127.0.0.1; xxx.xx.xx.xx;};

donde xxx.xx.xx.xx es tu ip, si dispones de varias ips puedes ponerlas todas separadas por punto y coma(

o ponerlas en formaro cidr xx.xx.xx.xx/27
- Busca la sección "options" dentro del archivo named.conf e inserta la siguiente línea:

Código:

allow-recursion { local-net-addrs; };

- Elimina cualquier línea similar a:

Código:

acl { xx.xx.xx.xx}

- Guarde los cambios y reinicie el servico named

Ahora corra el test nuevamente para asegurarnos que ya no muestra el error y verifique que su servidor está resolviendo correctamente dominios internos y externos. esto puedes hacerlo usando el comando dig dominio.com

Listo ya tenemos un servidor DNS más seguro

monoswim · #2 (**permalink**) 23/03/2006, 07:21

Muy bueno chaval !!! gracias por compartirlo !!!

Cuando termine de configurar el DNS lo voy a implementar...

Saludos

Datacenter1 · #3 (**permalink**) 23/03/2006, 07:34

Cita:

Iniciado por monoswim

Muy bueno chaval !!! gracias por compartirlo !!!

Cuando termine de configurar el DNS lo voy a implementar...

Saludos

A la orden, cualquier problema en la implementación me avisas

Sh4ka · #4 (**permalink**) 23/03/2006, 16:29

Sirve este tutorial para servers cPanel con RedHatES 3?

Datacenter1 · #5 (**permalink**) 23/03/2006, 16:45

Cita:

Iniciado por Sh4ka

Sirve este tutorial para servers cPanel con RedHatES 3?

Cpanel utiliza named (BIND) por lo que no veo porque no deba trabajar
Respalda tu archivo named.conf antes de hacer la modificación
Es muy importante que la sintaxis sea exacta, named es algo temperamental con errores de sintaxis

JoshMex · #6 (**permalink**) 24/03/2006, 10:22

Bajo Windows como seria el proceso?

JoshMex

Datacenter1 · #7 (**permalink**) 24/03/2006, 10:27

Cita:

Iniciado por JoshMex

Bajo Windows como seria el proceso?

JoshMex

Saludos

No utilizo servidores dns bajo Windows por lo cual desconozco el proceso en detalles

Encontré esto en la página de dnsreport.com:
Fixing Microsoft DNS on Windows 2000

Open DNS [Start->Programs->Admin Tools->DNS]
In the console tree, click the applicable DNS server.
On the Action menu, click Properties.
Click the Advanced tab.
In Server options, select the Disable recursion check box, and then click OK

Fixing Microsoft DNS on Windows 2003

Open DNS.
In the console tree, right-click the applicable DNS server, then click Properties.
Click the Advanced tab.
In Server options, select the Disable recursion check box, and then click OK.

Espero te sirva

jmjosebest · #8 (**permalink**) 21/11/2006, 04:54

Muchas gracias, me ha servido!!

Anarko · #9 (**permalink**) 02/06/2007, 18:44

Hola,

entonces "por defecto" esta OPEN.

Para que ?
Por que ?

Habra alguna desventaja en "cerrarlo" ?

Felicitaciones por el POST muy útil.

PD: el enlace www.datacenter1.com me lleva a otra web... ¿?

WebTech · #10 (**permalink**) 02/06/2007, 19:51

No hay desventajas al "cerrarlo", sigue ese tutorial con seguridad y atención autorizando las IPs que tu necesites, y no tendrás problemas.

Saludos,

Anarko · #11 (**permalink**) 02/06/2007, 20:55

Gracias WebTech,

nos dices que NO HAY DESVENTAJA, Ok, pero...

Si esa es la CONFIG por defecto, para que viene así ?

Es como el GLOBALS, venia ON por defecto pero lo bueno es OFF...

Venia ON para estandarizar los programas y no asustar a quienes no se entienden mucho con las SUPERGLOBALES, post,get,env, etc...