Теме: Микротик

Микротик: Остављате ли отворен ДНС?

Скраћена веза: http://pedja.supurovic.net/veza/7622

Вероватно као и сви, ДНС сервер на микротик рутеру подешавате једноставно. Подесите ДНС сервере којима ће да се обраћа и дозволите приступ серверу, командама:

/ip dns
set allow-remote-requests=yes cache-max-ttl=1w \
    cache-size=65535KiB max-udp-packet-size=512 \
    servers=8.8.8.8,8.8.4.4

Још само подесите DHCP тако да рачунари у локалној мрежи користе микротик рутер као ДНС сервер и ствар је решена и ради.

Ако се микротик рутер налази иза рутера провајдера који ради у НАТ режиму, то је углавном и довољно подешавање.

Међутим, све чешће, корисници микротик рутера се опредељују да рутер директно повезују на јавну мрежу, било пребацујући рутере провајдера у бриџ режим, било изнајмљивањем интернет линкова којима се директно доводе јавне ИП адресе на рутер.

Ако ваш рутер на свом WAN  порту има јавну ИП адресу, оваква конфигурација је опасна, јер директно излажете ДНС сервер нападима са Интернета.

Наиме, микротик нема опцију да приликом укључења његовог ДНС сервера бирате на ком мрежном интерфејсу ће се сервер видети. Сервер се аутоматски види на свим мрежним интерфејсима, како онима у локалној мрежи тако и на оним који су изложени ка Интернету. Тиме свако са Интернета може да приступи серверу и користи га.

Зато је то непожељно? У последње време гомила тројанаца користи ДНС да напада разне сервере на Интернету. Ако тројанац сазна да је ваш ДНС отворен, он ће га користити да усмерава нападе преко њега, кријући се иза вашег рутера који ће, у ствари,  изгледати као да је он извор напада. Тиме практично ваш рутер постаје део мреже која прави штету.

Овакви напади штету праве и вама, најпре зато што самим тиме што је укључен у напад, ваш рутер ће врло брзо доспети на црне лист и саобраћај к ањему ће бити блокиран.

Осим тога, овакви нападо практично представљају ДДОС помоћу ДНС упита. Огроман број упита се шаље одједном и ваш рутер ће трпети то оптерећење. Имао сам прилике да видим како озбиљнији микротик рутер са процесором од неколико гигахерца почиње да попушта пред тако великим бројем ДНС упита.

Дакле, отворени ДНС вам никако није у интересу.

Како ћете то онемогућити? У ствари је једноставно, само што морате да се сетите да то сваки пут подесите када укључите ДНС на неком рутеру који подешавате: блокирајте долазне упите на ТЦП и УДП порт 53 на свим мрежним интерфејсима који имају јавну ИП адресу.

На пример, ако имате рутер са једним WAN интефејсом, онда ћете на том интерфејсу блокирати долазне ДНС упите командом:

/ip firewall filter
add action=drop chain=input in-interface=wan \
    protocol=udp dst-port=53
add action=drop chain=input in-interface=wan \
    protocol=tcp dst-port=53

Или ако имате један лан интерфејс онда можете једном командом затворити ДНС портове на свим осталим интерфејсима:

/ip firewall filter
add action=drop chain=input in-interface=!lan \
    protocol=udp dst-port=53
add action=drop chain=input in-interface=!lan \
    protocol=tcp dst-port=53

Од сада водите рачуна, ово је лако заборавити да треба да се уради а када уследи ДНС напад, није баш једноставно открити да је он разлог проблема на рутеру.


Поделите овај чланак са пријатељима


Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *