Обеспечение безопасности DNS сервера.

2

1

Здравствуйте! Поднял DNS сервер с внешним IP, стал актуальным вопрос безопасности и доступности самого сервиса.

Скажите, на что обратить внимание при настройке, сервера и самого Bind. дабы защитить его от внешних атак и неправомерного использования сторонними лицами. Сам DNS+DNS slave нацелен на внутрикорпоративное использование разными сервисами посему рекурсия в мир нужна. Сервер на Centos 6.4.

1) Bind работает с Selinux + chroot .
2) Все порты кроме 53 и SSH закрыты iptables, SSH порт перевешен.
3) Трансфер и Update зон разрешен только с определённого IP.
4) Созданы view зоны в named.conf в которых происходить определение необходимости рекурсии в зависимости от IP клиента.
5) Наверное нужно ограничение внешних соединений по 53 порту, но по каким критериям сечь пока не ясно..
На что еще обратить внимание.. ?

Ссылка

←	comma vulnerability

про gnupg

→

Журналирование событий.

~~Deathstalker~~ ★★★★★
(13.08.13 23:40:52 MSK)

Ссылка

От ddos'а, который у вас в тегах, вы настройками iptables не защититесь. По мне, написанного у вас достаточно, ну можете подумать о том, чтобы вести мониторинг ваших DNS-серверов с какого-нибудь внешнего ip-адреса.

mky ★★★★★
(15.08.13 04:09:59 MSK)

Ссылка

Написанного вполне достаточно. Последующие проблемы можно будет решать по мере их возникновения.

Но, для будущего, я бы посоветовал еще познакомиться с пакетом iproute2 и научиться выстраивать работу очередей в сетевых интерфейсах.

soomrack ★★★★★
(15.08.13 11:30:56 MSK)

Ответ на: комментарий от soomrack 15.08.13 11:30:56 MSK

Спасибо, я так понимаю вы говорите о утилите «tc» из набора пакетов «iproute2» .. Скажите, а чем «соль» выстраивания работы очередей на одном интерфейсе?

Dr0id
(15.08.13 11:41:08 MSK) автор топика

Ответ на: комментарий от Dr0id 15.08.13 11:41:08 MSK

Определение приоритетов в обработке трафика. Можно, например, выставить приорите для ssh и тогда какая бы загрузка другим трафом не была, по ssh подключиться всегда можно будет.

Вот неплохая статья про это (см. вторую часть): http://www.opennet.ru/base/net/iproute2_cebka.txt.html

"... Итак, очереди способны контролировать скорость передачи пакетов, ограничивая нежелательный сетевой трафик по скорости (позволяет избежать выход из строя сервера или отдельных демонов в результате DoS и даже DDoS атак). Позволяет осуществлять распределение нагрузки между несколькими сетевыми интерфейсами. С помощью очередей также можно добиться существенного увеличения производительности сети в целом при помощи разделения различных видов трафика (например, интерактивные данные должны обрабатываться быстрее) на основе поля ToS (type of service - тип услуг). Iproute2 также дает возможность ограничения SYN-flood и ICMP-dDoS атак. Кроме этого можно устанавливать свой предел скорости на основе различных фильтров..."

soomrack ★★★★★
(15.08.13 11:46:43 MSK)

Ответ на: комментарий от soomrack 15.08.13 11:46:43 MSK

Спасибо большое, это сторона предмете меня обошла, сижу изучаю.

На вский случай по теме еше:

http://www.opennet.ru/docs/RUS/LARTC
http://sourceforge.net/projects/htbinit/
фильтр U32:
http://habrahabr.ru/post/138463/

Dr0id
(15.08.13 11:53:51 MSK) автор топика

Ответ на: комментарий от Dr0id 15.08.13 11:53:51 MSK

Первая ссылка тоже хорошая.

Спасибо большое, это сторона предмете меня обошла, сижу изучаю.

Это вполне естественно, ибо вначале трафик нужно разрулить, а потом назначить приоритеты. Причем второе в большинстве случаев не особо-то и нужно.

soomrack ★★★★★
(15.08.13 11:57:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	comma vulnerability

Security

про gnupg

→

Похожие темы