Teme: Mikrotik

Mikrotik: Ostavljate li otvoren DNS?

Skraćena veza: http://pedja.supurovic.net/veza/7622

Verovatno kao i svi, DNS server na mikrotik ruteru podešavate jednostavno. Podesite DNS servere kojima će da se obraća i dozvolite pristup serveru, komandama:

/ip dns
set allow-remote-requests=yes cache-max-ttl=1w \
    cache-size=65535KiB max-udp-packet-size=512 \
    servers=8.8.8.8,8.8.4.4

Još samo podesite DHCP tako da računari u lokalnoj mreži koriste mikrotik ruter kao DNS server i stvar je rešena i radi.

Ako se mikrotik ruter nalazi iza rutera provajdera koji radi u NAT režimu, to je uglavnom i dovoljno podešavanje.

Međutim, sve češće, korisnici mikrotik rutera se opredeljuju da ruter direktno povezuju na javnu mrežu, bilo prebacujući rutere provajdera u bridž režim, bilo iznajmljivanjem internet linkova kojima se direktno dovode javne IP adrese na ruter.

Ako vaš ruter na svom WAN  portu ima javnu IP adresu, ovakva konfiguracija je opasna, jer direktno izlažete DNS server napadima sa Interneta.

Naime, mikrotik nema opciju da prilikom uključenja njegovog DNS servera birate na kom mrežnom interfejsu će se server videti. Server se automatski vidi na svim mrežnim interfejsima, kako onima u lokalnoj mreži tako i na onim koji su izloženi ka Internetu. Time svako sa Interneta može da pristupi serveru i koristi ga.

Zato je to nepoželjno? U poslednje vreme gomila trojanaca koristi DNS da napada razne servere na Internetu. Ako trojanac sazna da je vaš DNS otvoren, on će ga koristiti da usmerava napade preko njega, krijući se iza vašeg rutera koji će, u stvari,  izgledati kao da je on izvor napada. Time praktično vaš ruter postaje deo mreže koja pravi štetu.

Ovakvi napadi štetu prave i vama, najpre zato što samim time što je uključen u napad, vaš ruter će vrlo brzo dospeti na crne list i saobraćaj k anjemu će biti blokiran.

Osim toga, ovakvi napado praktično predstavljaju DDOS pomoću DNS upita. Ogroman broj upita se šalje odjednom i vaš ruter će trpeti to opterećenje. Imao sam prilike da vidim kako ozbiljniji mikrotik ruter sa procesorom od nekoliko gigaherca počinje da popušta pred tako velikim brojem DNS upita.

Dakle, otvoreni DNS vam nikako nije u interesu.

Kako ćete to onemogućiti? U stvari je jednostavno, samo što morate da se setite da to svaki put podesite kada uključite DNS na nekom ruteru koji podešavate: blokirajte dolazne upite na TCP i UDP port 53 na svim mrežnim interfejsima koji imaju javnu IP adresu.

Na primer, ako imate ruter sa jednim WAN intefejsom, onda ćete na tom interfejsu blokirati dolazne DNS upite komandom:

/ip firewall filter
add action=drop chain=input in-interface=wan \
    protocol=udp dst-port=53
add action=drop chain=input in-interface=wan \
    protocol=tcp dst-port=53

Ili ako imate jedan lan interfejs onda možete jednom komandom zatvoriti DNS portove na svim ostalim interfejsima:

/ip firewall filter
add action=drop chain=input in-interface=!lan \
    protocol=udp dst-port=53
add action=drop chain=input in-interface=!lan \
    protocol=tcp dst-port=53

Od sada vodite računa, ovo je lako zaboraviti da treba da se uradi a kada usledi DNS napad, nije baš jednostavno otkriti da je on razlog problema na ruteru.


Podelite ovaj članak sa prijateljima


Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Popunite izraz tako da bude tačan: *