{"id":3925,"date":"2016-07-13T21:11:35","date_gmt":"2016-07-13T23:11:35","guid":{"rendered":"http:\/\/www.entelco.com.br\/blog\/?p=3925"},"modified":"2016-07-13T21:25:50","modified_gmt":"2016-07-13T23:25:50","slug":"dns-mikrotik-riscos-e-perigos","status":"publish","type":"post","link":"https:\/\/www.entelco.com.br\/blog\/dns-mikrotik-riscos-e-perigos\/","title":{"rendered":"DNS MikroTik – Riscos e Perigos."},"content":{"rendered":"

DNS MikroTik – o que fazer ?<\/h2>\n

Um roteador MikroTik com recurso de DNS habilitado pode ser definido como um servidor de DNS para qualquer cliente DNS que solicite a resolu\u00e7\u00e3o a ele. Um roteador com o DNS MikroTik configurado, pode ser classificado como um servidor de DNS prim\u00e1rio, sob suas configura\u00e7\u00f5es de DHCP que entregam os IPs ao usu\u00e1rio final, no entanto, uma vez habilitado, surgir\u00e3o os problemas. Quando a autoriza\u00e7\u00e3o a estes pedidos remotos s\u00e3o habilitados, o roteador MikroTik responde \u00e0s solicita\u00e7\u00f5es TCP<\/a> e UDP DNS na porta 53. Sendo assim, independente da interface ou lado de sua rede, o servi\u00e7o ser\u00e1 requisitado e respondido.<\/p>\n

Na tela abaixo, foi citado um exemplo de DNS externo, sendo o google (8.8.8.8), por\u00e9m, \u00e9 apenas um exemplo.<\/p>\n

\"DNS

DNS MikroTik<\/p><\/div>\n

 <\/p>\n

 <\/p>\n

Tipos de DNS<\/h2>\n

O autoritativo<\/strong> \u00e9 respons\u00e1vel por manter os mapas referentes a uma zona local e responder a requisi\u00e7\u00f5es vindas de m\u00e1quinas de todo o mundo, que precisarem resolver nomes de dom\u00ednio da zona sobre a qual este servidor tem autoridade;<\/p>\n

O recursivo<\/strong> \u00e9 respons\u00e1vel por receber as consultas DNS dos clientes locais e consultar os servidores externos, de modo a obter respostas \u00e0s consultas efetuadas.<\/p>\n

Um problema bastante comum de configura\u00e7\u00e3o \u00e9 permitir que qualquer m\u00e1quina na Internet fa\u00e7a consultas ao servidor DNS recursivo de uma determinada rede. Servidores com esse problema s\u00e3o comumente chamados de servidores DNS recursivos abertos, pois apenas o servidor autoritativo \u00e9 que deve responder a consultas vindas de m\u00e1quinas externas.<\/p>\n

Riscos do Servi\u00e7o de DNS<\/h2>\n

A\u00a0organiza\u00e7\u00e3o que possua um servidor DNS recursivo aberto corre o risco de ter esse servidor envolvido nos seguintes ataques:<\/p>\n

Ser v\u00edtima de ataques de envenenamento de cache (cache poisoning), que levam o servidor recursivo a armazenar informa\u00e7\u00f5es forjadas. Tais informa\u00e7\u00f5es podem ser usadas para comprometer a seguran\u00e7a de clientes que fa\u00e7am consultas a esse servidor.<\/p>\n

Ter esse servidor abusado por atacantes e utilizado para desferir ataques de nega\u00e7\u00e3o de servi\u00e7o distribu\u00eddos (DDoS), que podem implicar nas seguintes conseq\u00fc\u00eancias:
\no grande n\u00famero de consultas DNS forjadas recebidas e, principalmente, a quantidade de respostas grandes enviadas para a v\u00edtima, podem consumir uma quantidade consider\u00e1vel de banda da rede com um servidor DNS recursivo aberto;
\ndependendo do contrato do provedor de conectividade, a rede com o DNS aberto sendo abusado pode ser co-responsabilizada em caso de ataque de nega\u00e7\u00e3o de servi\u00e7o contra terceiros.<\/p>\n

Importante: caso a rede onde est\u00e1 instalado o servidor DNS recursivo, mesmo que configurado corretamente, n\u00e3o possua regras de ingress filtering, um atacante pode forjar o IP dos clientes desse servidor e realizar consultas DNS em grande quantidade, causando uma nega\u00e7\u00e3o de servi\u00e7o interna \u00e0 rede<\/p>\n

Como come\u00e7ar a bloquear estes tipos de ataques de DNS<\/h2>\n

Regras b\u00e1sicas podem fazer a grande diferen\u00e7a no mmento de colocar uma rede em produ\u00e7\u00e3o, e no MikroTik, podemos come\u00e7ar com regras como:<\/p>\n

Regra que bloqueia a requisi\u00e7\u00e3o de DNS na interface do Link (externa)<\/strong><\/p>\n

add action=drop chain=input comment=”Bloqueio DNS” dst-port=53 in-interface=Link protocol=udp<\/em><\/p>\n

Regra que bloqueia a requi\u00e7\u00e3o de DNS \u00e1 rede dos clientes\/usu\u00e1rios<\/strong><\/p>\n

A rede 10.11.12.0\/24. foi representada como sendo de clientes<\/p>\n

\u00a0add action=drop chain=forward \u00a0comment=”Bloqueio DNS Range Clientes” dst-port=53 in-interface=Link protocol=udp dst-address=10.11.12.0\/24<\/em><\/p>\n

Como aprender mais sobre DNS e Firewall\u00a0MikroTik ?<\/h2>\n

A ENTELCO convida a todos a se inscreverem nos cursos que ajudam os profissionais a projetar e configurar um Firewall MikroTik . Todos estes t\u00f3picos s\u00e3o abordados nos treinamento da empresa.<\/p>\n

1- B\u00e1sico – MikroTik Network Associate<\/a><\/p>\n

2- Avan\u00e7ado – MikroTik Advanced Admin<\/a><\/p>\n

Fa\u00e7a a sua inscri\u00e7\u00e3o agora mesmo e aprenda a montar e configurar um Firewall MikroTik.<\/p>\n

Aumente seu conhecimento e garanta a melhor qualidade em sua rede.<\/p>\n

Abra\u00e7os<\/p>\n

Rog\u00e9rio Barion<\/address>\n
ENTELCO TELECOM<\/address>\n

 <\/p>\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"

DNS MikroTik – o que fazer ? Um roteador MikroTik com recurso de DNS habilitado pode ser definido como um servidor de DNS para qualquer cliente DNS que solicite a resolu\u00e7\u00e3o a ele. Um roteador com o DNS MikroTik configurado, pode ser classificado como um servidor de DNS prim\u00e1rio, sob suas configura\u00e7\u00f5es de DHCP que […]<\/p>\n","protected":false},"author":1,"featured_media":3928,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[14],"tags":[2126,529],"_links":{"self":[{"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/3925"}],"collection":[{"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/comments?post=3925"}],"version-history":[{"count":5,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/3925\/revisions"}],"predecessor-version":[{"id":3932,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/3925\/revisions\/3932"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/media\/3928"}],"wp:attachment":[{"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/media?parent=3925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/categories?post=3925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/tags?post=3925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}