Quais são as configurações de porta de escuta de firewall / DNS externas mais restritivas que eu posso ter para meu servidor DNS (somente clientes internos)

2
  • Esta questão refere-se especificamente ao endurecimento da configuração do DNS, firewalls e no limite, ntp. (não proxys, acesso http, vpn ou outros serviços).
  • Trata-se do lado externo da rede. Os clientes DNS estão conectados localmente em uma placa de interface separada do servidor dns. Eu só quero remover os clientes do meu servidor DNS ou outras coisas internas da equação.
  • Tentando abrir a menor quantidade de portas e restringir as portas abertas o máximo possível em qualquer lugar da pilha (por tcp / udp, source / dest port ....).
  • Minha maior preocupação é que, do meu ponto de vista, minhas consultas do servidor DNS a outros servidores DNS podem ser feitas com uma porta de origem entre 1024 e 49152, mas não desejo abrir todas essas portas.
  • O firewall está usando o "mascarado" (NAT).
  • o DNS está usando o dns-sec.
  • A segurança é a prioridade em relação a um tempo de resposta mais lento.
  • Se você puder fornecer uma resposta com a menor quantidade de portas / protocolos etc ... (incluindo portas "óbvias"), também conhecida como a menor superfície de ataque que deve estar aberta para o DNS se comunicar com outros servidores e por que isso é isso seria muito útil.
  • Como o FirewallD é um front end mais recente no mundo * nix, qualquer exemplo que possa usar o FirewallD (em vez de diretos iptables ou pf) teria um valor adicional.

  • Esta é essencialmente uma questão geral, mas termos do meu contexto, tenho aplicações padrão comuns: um servidor linux da família RHEL com bind DNS, Squid Proxy e firewallD firewall, todos na mesma máquina, voltados para a Internet externa.

    Eu olhei em volta e vi várias perguntas específicas que dependem de um software específico ou de um problema. Esta questão se refere mais a abordagem e segurança do que aplicativos específicos. Agradecemos antecipadamente pelo seu tempo.

por BloodyEl 02.06.2016 / 14:05

1 resposta

0

Usando o Bind, é possível limitar o conjunto de portas de origem usadas para uma consulta . DNSSec à parte, restringir demais a porta de origem torna mais fácil a injeção de respostas falsas.

Se você deseja bloquear completamente, pode usar um proxy externo, como os servidores DNS do 8.8.8.8 do Google, em 8.8.8.8. Fonte única (interna). Único destino para todas as consultas. No entanto, não posso aconselhar sobre o aspecto do DNSSec.

A implementação de NTP de referência usa a porta 123 para origem e destino, mas nem toda implementação o faz. A menos que você controle o servidor upstream, você ainda não terá um emparelhamento de segurança , portanto, será necessário alcançar os servidores que estão "suficientemente" confiável. Idealmente três ou cinco. Certamente não apenas dois ("eles são diferentes, mas o que é errado"). É muito fácil encontrar servidores Stratum 3. Não é muito difícil encontrar Stratum 2s, e se você olhar é possível encontrar o acesso público Stratum 1s. (Ou você pode simplesmente rodar seu próprio receptor baseado em GPS. Eles não são excessivamente caros atualmente).

    
por 17.07.2016 / 20:29