Apertura del puerto 53 en el servidor ¿Riesgos?

Navega tus respuestas
0

Miré a mi alrededor pero no pude encontrar una pregunta suficientemente similar.

Tengo algunos servidores remotos posicionados en las redes de los clientes, que brindan diversos servicios (raspberry pi), y su configuración de firewall es la siguiente:

Solo direcciones IP específicas ENTRADA y SALIDA a puertos específicos. Todo lo demás se deja caer. Solo se permiten conexiones SSH desde mi propia red.

Problema: Uno de los servicios proporcionados es un creador de campaña de correo electrónico, que envía las campañas en nombre del cliente, por lo que el cliente debe poder configurar el servidor SMTP de su propio proveedor de correo electrónico.

Hasta ahora, he estado haciendo la configuración para ellos y configurando el servidor como IP no como nombre de host, luego agregando la regla relativa en iptables. Me gustaría cambiar esto y abrir 53 para las solicitudes de DNS UDP de la siguiente manera: 

# DNS Hostname Resolution
/sbin/iptables -A OUTPUT -s $ip -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#Return Path
/sbin/iptables -A INPUT -d $ip -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

¿Hay algún agujero de seguridad que esté pasando por alto aquí? ¿Hay algo que pueda hacer para que esto sea más seguro?

Cualquier consejo es apreciado.

    
pregunta asimovwasright 12.03.2015 - 10:49
fuente

2 respuestas

2

Corríjame si me equivoco, pero parece que está ejecutando un servidor DNS autorizado para el dominio de su cliente, y la gente tendrá que poder consultar este servidor desde la Internet pública. Por seguridad, los servidores DNS autorizados tienen al menos la siguiente configuración:

  • Las consultas para otros dominios deben ignorarse o rechazarse
  • Debería haber un límite de velocidad para limitar la cantidad de solicitudes de DNS por segundo desde una sola dirección IP, para evitar ataques de amplificación de DNS.

Un ataque de amplificación de DNS es esencialmente cuando un atacante aprovecha el ancho de banda de los servidores DNS para lanzar un ataque de denegación de servicio en otro objetivo. DNS normalmente es un protocolo UDP, lo que significa que es fácil falsificar la dirección IP de origen. Si un atacante desea usar su servidor DNS para un ataque de amplificación, simplemente realizará toneladas de consultas a su servidor mientras falsifica la dirección IP de su objetivo. Su servidor terminará enviando todas las respuestas de DNS al destino, lo que provocará una denegación de servicio. La limitación de la velocidad a la que una sola dirección IP puede enviar consultas mitigará la mayoría de estos riesgos.

Si leo mal su publicación y NO tiene la intención de ejecutar un servidor DNS al que pueda acceder la Internet pública, debe configurar el servidor para que solo responda a las consultas de las direcciones IP específicas que necesitan consultarla.

Finalmente, debe mantener actualizado el software de servidor DNS que esté ejecutando. El software de servidor DNS más popular, BIND, ha tenido históricamente algunos errores de seguridad importantes. La ejecución de una versión anterior de BIND podría abrir algunas vulnerabilidades graves en su servidor.

    
respondido por el tlng05 12.03.2015 - 21:09
fuente
0

Depende, normalmente debería limitar los rangos de IP que pueden consultar su servidor DNS. La razón es que si permites que cualquier IP consulte tu servidor DNS mediante UDP, puede ser objeto de abuso para realizar ataques de amplificación de DNS si eres un resolvedor abierto.

    
respondido por el Lucas Kauffman 12.03.2015 - 11:42
fuente

Lea otras preguntas en las etiquetas

Combinación de certificados SSL específicos para subdominios y comodines dm-crypt sobre iSCSI