PDF de programación - Evitando que tu servidor DNS sea un arma de destrucción masiva

Bond Internet Systems

Evitando que tu servidor

DNS sea un arma de
destrucción masiva

João Damas

Monday, 10 June 13

Monday, 10 June 13

Hace algunos años,
en un lugar cercano...

Monday, 10 June 13

Hace algunos años,
en un lugar cercano...

El DNS era algo de lo más inofensivo

Monday, 10 June 13

Hace algunos años,
en un lugar cercano...

El DNS era algo de lo más inofensivo
Nadie le prestaba atención

Monday, 10 June 13

Hace algunos años,
en un lugar cercano...

El DNS era algo de lo más inofensivo
Nadie le prestaba atención
El servicio estaba en una esquina del
servidor que sobraba

Monday, 10 June 13

Hace algunos años,
en un lugar cercano...

El DNS era algo de lo más inofensivo
Nadie le prestaba atención
El servicio estaba en una esquina del
servidor que sobraba

Monday, 10 June 13

Hoy

• Está claro lo crítico que es el DNS
• pero sigue estando al final de la lista
• y se le dedica poca atención

Monday, 10 June 13

Amplificación

dig nic.nl any +dnssec (35 bytes)
la respuesta tiene 2899 bytes

Monday, 10 June 13

El DNS hoy

Monday, 10 June 13

¿Cómo evitarlo?

• DNS recursivo
• DNS autoritativo

Monday, 10 June 13

DNS recursivo

Monday, 10 June 13

DNS recursivo

Access

Monday, 10 June 13

DNS recursivo

Access
Control

Monday, 10 June 13

DNS recursivo

En el servidor de nombres

ACLs

Access
Control

Monday, 10 June 13

DNS recursivo

Access
Control

En el servidor de nombres

ACLs

En la red

uRPF en interfaces de cliente

Monday, 10 June 13

DNS recursivo

Access
Control

En el servidor de nombres

ACLs

En la red

uRPF en interfaces de cliente

http://www.bcp38.info/index.php/Main_Page

http://www.ripe.net/ripe/docs/ripe-431
http://www.ripe.net/ripe/docs/ripe-432

Monday, 10 June 13

DNS recursivo

• RPZ: Response Policy Zones
• Se recibe una zona de DNS en la que
se especifican acciones a tomar para
responder a preguntas sobre
determinados dominios

Monday, 10 June 13

DNS recursivo

• RPZ: Response Policy Zones
• lo que diga la zona
• sólo log
• nxdomain|nodata|cname

Monday, 10 June 13

DNS autoritativo

• Durante años se procuró filtrar las
preguntas de DNS entrantes
• pero esto nunca funciona
• demasiados falsos positivos
• pagan justos por pecadores
• la linea de acceso sigue saturada

Monday, 10 June 13

DNS autoritativo

Monday, 10 June 13

DNS autoritativo

La idea que si funciona es
no responder

Monday, 10 June 13

DNS autoritativo

Response Rate Limiting

Monday, 10 June 13

RRL

Se instala el parche en BIND (9.9.4)

Viene de fábrica con Knot DNS y NSD

Se controla a través de 3 parámetros

responses-per-second
window
slip

http://www.redbarn.org/dns/

ratelimits

Monday, 10 June 13

Preguntas?

Monday, 10 June 13