19 votos

¿Qué es un abierto de resolución de DNS, y ¿cómo puedo proteger mi servidor de ser mal utilizado por los hackers?

No tengo la más fuerte de fondo en seguridad informática, pero ayer uno de mis servidores de la compañía se cerró por nuestro anfitrión.

Es un servidor asigna una dirección IP pública donde puedo alojar en la web varias aplicaciones de servicio, incluyendo sitios web y APIs. Me dijeron que mi servidor "se está ejecutando un abierto de resolución de dns que se utiliza para transmitir el ataque de denegación de servicio a una entidad externa."

¿Qué significa esto? ¿Cómo funciona este ataque de trabajo? Y ¿cómo puedo proteger mi sistema de ser maltratado como este?

En mi caso particular, el servidor en cuestión es sobre Windows Server 2012, y está sirviendo de DNS para un dominio de Active Directory.

32voto

HopelessN00b Puntos 38607

Un "abrir de resolución de DNS" es un servidor DNS que está dispuesto a resolver recursiva de las búsquedas de DNS para cualquier persona en el internet. Es muy similar a una retransmisión SMTP abierta, en la que la simple falta de autenticación permite malicioso 3ª partes para propagar sus cargas de uso de la seguridad a su equipo. Con SMTP abierta relés, el problema es que enviar spam. Con abrir las resoluciones DNS, el problema es que permiten un ataque de denegación de servicio conocido como Amplificación de DNS Ataque.

La forma en que este ataque funciona es bastante simple ya que el servidor se va a resolver consultas DNS recursivas de nadie, un atacante puede causar participar en un DDoS mediante el envío de su servidor DNS recursivo consulta que se va a devolver una gran cantidad de datos, mucho más grande que el original DNS paquete de solicitud. Por suplantación de identidad (fingiendo) su dirección IP, que van a dirigir este tráfico adicional a su víctima equipos en lugar de su propio, y, por supuesto, van a hacer como muchos pedidos lo más rápido que puede a su servidor, y todas las otras resoluciones DNS que pueden encontrar. De esta manera, una persona con un relativamente pequeño de la tubería puede "ampliar" un ataque de denegación de servicio mediante el uso de todo el ancho de banda en su tubería para dirigir un mayor volumen de tráfico en sus víctimas.

ArsTechnica hizo un decente artículo sobre la reciente Amplificación de DNS ataque DDoS contra Spamhaus, y vale la pena una lectura rápida para obtener los conceptos básicos (y una buena visual de la amplificación).

La forma más sencilla de proteger su sistema de ser maltratado como esto es para limitar las direcciones que el servidor va a realizar búsquedas recursivas para las subredes locales. (Los detalles de qué depende de que servidor DNS que estás usando, por supuesto).


Por ejemplo, si yo estuviera usando BIND 9, y quería simplemente evitar DNS recursividad de fuera de direcciones, me gustaría utilizar el código siguiente en mi config:

options {
    directory "/var/named/master";
    allow-recursion { 127.0.0.1; 10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12; };

Esa línea de código le dice a mi servidor BIND a sólo proceso recursivo las peticiones DNS para la dirección de bucle invertido local (que supongo que se podría/debería establecer para el loopback local del bloque, todo /8) y el 3 dirección IPv4 Privada de los espacios.


Para Windows Server 2012, que usted dice que usted está utilizando, usted tiene las siguientes opciones.

1. Separar el servidor DNS de su servidor IIS.

  • Al menos en un mundo perfecto, no hay ninguna razón usted necesita estar en ejecución DNS en el mismo cuadro como IIS.
    • Poner el DNS en un interno de la caja que no Coordinadas, de modo que el mundo exterior no puede llegar a él, y que IIS residen en el exterior-frente a la caja que el resto del mundo puede conseguir en. Usted puede utilizar dual-homing o reglas de firewall para permitir de forma selectiva el acceso a su servidor DNS de su servidor IIS.

2. Bloque de solicitudes DNS externas con un firewall, como el construido en el firewall de Windows.

  • Para mi sorpresa, el DNS de Windows no permite restringir las direcciones a las que recursiva de las solicitudes de DNS son honrados, por lo que este realmente el método recomendado por Microsoft.
  • enter image description here
    • Seleccione el DNS reglas (TCP y UDP), ir a la Remote IP address sección y añadir las subredes en el uso de la red LAN, así como cualquier público de direcciones IP de servidores que necesitan tener acceso a Active Directory. Como con el ejemplo de BIND, IPv4 privada de los espacios de dirección son 127.0.0.0/8 10.0.0.0/8 192.168.0.0/16 y 172.16.0.0/12.

3. Deshabilitar la recursividad.

  • Francamente no estoy seguro de cuál es el efecto que esto tendrá en su entorno, ya que realmente no has dicho DNS y AD son configurados en su entorno, y en consecuencia, es la última opción.
  • enter image description here
    1. Abra el Administrador de DNS.
    2. En el árbol de consola, haga clic en el servidor DNS correspondiente y, a continuación, haga clic en Propiedades.
    3. Donde?
    4. DNS/servidor DNS correspondiente
    5. Haga clic en la ficha Avanzadas.
    6. En las opciones de Servidor, seleccione la casilla de verificación Deshabilitar recursividad y, a continuación, haga clic en ACEPTAR.
      • Ya que disponemos de un entorno de varios bosques, y utilizar reenviadores condicionales para que funcione, no lo voy a comprobar que la caja. Podría ser algo que usted puede considerar así.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: