LINUX.ORG.RU

Обеспечение безопасности DNS сервера.

 , , ,


2

2

Здравствуйте! Поднял DNS сервер с внешним IP, стал актуальным вопрос безопасности и доступности самого сервиса.

Скажите, на что обратить внимание при настройке, сервера и самого Bind. дабы защитить его от внешних атак и неправомерного использования сторонними лицами. Сам DNS+DNS slave нацелен на внутрикорпоративное использование разными сервисами посему рекурсия в мир нужна. Сервер на Centos 6.4.

1) Bind работает с Selinux + chroot .
2) Все порты кроме 53 и SSH закрыты iptables, SSH порт перевешен.
3) Трансфер и Update зон разрешен только с определённого IP.
4) Созданы view зоны в named.conf в которых происходить определение необходимости рекурсии в зависимости от IP клиента.
5) Наверное нужно ограничение внешних соединений по 53 порту, но по каким критериям сечь пока не ясно..
На что еще обратить внимание.. ?


От ddos'а, который у вас в тегах, вы настройками iptables не защититесь. По мне, написанного у вас достаточно, ну можете подумать о том, чтобы вести мониторинг ваших DNS-серверов с какого-нибудь внешнего ip-адреса.

mky ★★★★★ ()

Написанного вполне достаточно. Последующие проблемы можно будет решать по мере их возникновения.

Но, для будущего, я бы посоветовал еще познакомиться с пакетом iproute2 и научиться выстраивать работу очередей в сетевых интерфейсах.

soomrack ★★★ ()
Ответ на: комментарий от soomrack

Спасибо, я так понимаю вы говорите о утилите «tc» из набора пакетов «iproute2» .. Скажите, а чем «соль» выстраивания работы очередей на одном интерфейсе?

Dr0id ()
Ответ на: комментарий от Dr0id

Определение приоритетов в обработке трафика. Можно, например, выставить приорите для ssh и тогда какая бы загрузка другим трафом не была, по ssh подключиться всегда можно будет.

Вот неплохая статья про это (см. вторую часть): http://www.opennet.ru/base/net/iproute2_cebka.txt.html

"... Итак, очереди способны контролировать скорость передачи пакетов, ограничивая нежелательный сетевой трафик по скорости (позволяет избежать выход из строя сервера или отдельных демонов в результате DoS и даже DDoS атак). Позволяет осуществлять распределение нагрузки между несколькими сетевыми интерфейсами. С помощью очередей также можно добиться существенного увеличения производительности сети в целом при помощи разделения различных видов трафика (например, интерактивные данные должны обрабатываться быстрее) на основе поля ToS (type of service - тип услуг). Iproute2 также дает возможность ограничения SYN-flood и ICMP-dDoS атак. Кроме этого можно устанавливать свой предел скорости на основе различных фильтров..."

soomrack ★★★ ()
Ответ на: комментарий от Dr0id

Первая ссылка тоже хорошая.

Спасибо большое, это сторона предмете меня обошла, сижу изучаю.

Это вполне естественно, ибо вначале трафик нужно разрулить, а потом назначить приоритеты. Причем второе в большинстве случаев не особо-то и нужно.

soomrack ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.