slideshow 1 slideshow 1 slideshow 2 slideshow 2

Útok na vaše veřejné DNS

Dnes si ukážeme jak čelit útokům z venku na vaše DNS. Pokud používáte Mikrotik jako DNS server a má veřejnou adresu, tak není nikterak chráněn. Je tedy třeba vložit do vašeho FW pár DROP pravidel.
První pravidlo:
add action=drop chain=input comment=dns_z_venku disabled=no dst-port=53 in-interface=ether1 protocol=tcp
A druhé:
add action=drop chain=input comment=dns_z_venku disabled=no dst-port=53 in-interface=ether1 protocol=udp

Ještě před vložením do Vašeho stroje je třeba změnit in-interface na iface vašeho wan portu do internetu. A to je vše. Jedná se o velmi jednoduché zakázání portu služby DNS jak v UDP tak v TCP.
Druhé řešení, které bych doporučil nejvíc, je vykašlat se na DNS na Mikoritku a používat BIND9 na linuxu a tam si krásně definujete povolené rozsahy, které mají mít na DNS přístup.

Kategorie: 

Stránky

Vzhled Danetsoft and Danang Probo Sayekti inspired by Maksimer