Apertura della porta 53 sul server Rischi?

0

Ho cercato ma non ho trovato una domanda abbastanza simile.

Ho alcuni server remoti posizionati sulle reti dei client, che forniscono vari servizi (raspberry pi) - e la loro configurazione del firewall è la seguente:

Solo indirizzi IP specifici INPUT e OUTPUT su porte specifiche. Tutto il resto è caduto. Chiave solo le connessioni SSH consentite dalla mia rete.

Problema: Uno dei servizi forniti è un creatore della campagna e-mail, che invia le campagne per conto del cliente, in modo che il client debba essere in grado di impostare il server SMTP del proprio provider di posta elettronica.

Fino ad ora, ho fatto il setup per loro, e impostando il server come IP non hostname, quindi aggiungendo la regola relativa in iptables. Vorrei cambiarlo e aprire 53 per richieste DNS UDP come segue:

# DNS Hostname Resolution
/sbin/iptables -A OUTPUT -s $ip -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#Return Path
/sbin/iptables -A INPUT -d $ip -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

Ci sono dei problemi di sicurezza che sto trascurando completamente qui? C'è qualcosa che potrei fare per renderlo più sicuro?

Qualche consiglio è apprezzato.

    
posta asimovwasright 12.03.2015 - 10:49
fonte

2 risposte

2

Correggimi se ho torto, ma sembra che tu stia utilizzando un server DNS autorevole per il dominio del tuo cliente, e le persone dovranno poter interrogare questo server dalla rete pubblica. Per sicurezza, i server DNS autorevoli hanno almeno le seguenti impostazioni:

  • Le query per altri domini devono essere ignorate o rifiutate
  • Ci dovrebbe essere una limitazione della velocità per limitare il numero di richieste DNS al secondo da un singolo indirizzo IP, per prevenire attacchi di amplificazione DNS.

Un attacco di amplificazione DNS è essenzialmente quando un attaccante sfrutta la larghezza di banda dei server DNS per lanciare un attacco denial-of-service su un altro bersaglio. Il DNS è normalmente un protocollo UDP, il che significa che è facile falsificare l'indirizzo IP di origine. Se un utente malintenzionato desidera utilizzare il server DNS per un attacco di amplificazione, farebbe semplicemente tonnellate di query al server durante lo spoofing dell'indirizzo IP del proprio target. Il tuo server finirebbe per inviare tutte le risposte DNS alla destinazione, causando un denial-of-service. Limitare la velocità con cui un singolo indirizzo IP può inviare query mitigherà la maggior parte di questi rischi.

Se leggo male il tuo post e NON intendi eseguire un server DNS accessibile a Internet pubblico, devi configurare il server in modo che risponda solo alle query degli indirizzi IP specifici che devono interrogarlo.

Infine, dovresti mantenere aggiornato qualsiasi software server DNS. Il software server DNS più popolare, BIND, ha storicamente avuto alcuni bug di sicurezza importanti. Eseguire una vecchia versione di BIND potrebbe aprire alcune gravi vulnerabilità sul tuo server.

    
risposta data 12.03.2015 - 21:09
fonte
0

Dipende, normalmente è necessario limitare gli intervalli IP a cui è consentito interrogare il server DNS. Il motivo è che se si consente a qualsiasi IP di interrogare il server DNS utilizzando UDP, potrebbe essere abusato per l'esecuzione di attacchi di amplificazione DNS se si è un risolutore aperto.

    
risposta data 12.03.2015 - 11:42
fonte

Leggi altre domande sui tag