DNS Recursivo aberto

5 12 2007

Hoje atendi 2 clientes que entraram em contato porque receberam um aviso do cert.br reportando alerta sobre dns recursivo aberto.O cert.br é um grupo que cuida de incidentes de segurança na internet brasileira, mantido pelo nic.br (comite gestor de internet no brasil).

As empresas que hospedam servidor de dns na sua rede local, normalmente vao ter o dns respondendo de forma autoritativa e recursiva.

Autoritativas são aquelas consultas feitas no mundo todo, vindas da internet, com relação ao domínio pelo qual o dns responde, como o próprio nome já diz, autoritativamente.

E as recursivas, são aquelas consultas vindas da rede local, que podem ser tanto de nomes de hosts locais (dos quais o dns terá a resposta), quanto nomes de outros domínios externos (consultas que terão que ser repassadas a outros servidores dns).

Aí é que surge o problema. Quando um dns fica aberto a consultas recursivas, ele permite que não só a rede local faça esse tipo de consulta, mas também toda a rede internet (!!!). Isso abre uma falha de segurança, possibilitando ataques de negação de serviço, etc.

No caso esses dois clientes que eu atendi, tinham dns rodando em linux, com bind 9. A solução para isso é criar no arquivo de configuração do bind (named.conf) uma view externa, onde as consultas recursivas não são permitidas, e uma view interna, onde essas consultas podem ser feitas. E também criar um arquivo de zona para cada uma das views.

Segue link da própria cert.br com maiores informações sobre o assunto:

http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/

Segue link onde pode ser testado o domínio, para saber se o dns está como open dns server.

http://www.dnsstuff.com

Segue telas do named.conf no local onde são declaradas as zonas com as 2 views:

-> interna

view interna named.conf

-> externa (veja parametro “recursion no” negando consultas recursivas)

view externa named.conf

Dos 2 clientes que eu atendi, esse primeiro deu tudo certo. O segundo deu alguns probleminhas, tive que recuperar backup dos arquivos com a configuração original, pois a alteração causou impacto no serviço de e-mail. Nas cenas do proximo capítulo eu posto aqui pra documentar. :P

hehehe

—————-
Vinícius -> ao som de Pink Floyd – Speak to Me
via FoxyTunes

  • Twitter
  • RSS
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Live
  • Technorati
  • MySpace
  • Rec6
  • Digg
  • LinkedIn
  • E-mail this story to a friend!
  • Print this article!

Posts Relacionados

« Recursos novos OWA 2007 Metaframe Shadow »


Acoes

Informacoes

One response para “DNS Recursivo aberto”

2 03 2009
Arquivos de configuração do Bind | vini.blogsite.org (12:17:10) :

[...] Segue arquivos que eu uso de modelo para configuração de dns no Linux. A configuração está feita com as zonas dentro de views interna e externa, conforme comentado no post sobre consultas recursivas. [...]

Mande um comentario! :)

Vc pode usar essas tags : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="">