[ Kolins Balaban @ 05.12.2015. 17:56 ] @
Pozdrav radni narode. Nije me dugo bilo ovdje :D ako vas mogu zamoliti za malu pomoc. Naime, da li je pravilo, i da li je preporucljivo, da core router, ili backbone, koji je veza izmedju jedne vece mreze i natprovidera bude ujedno i DNS server (Allow Remote Requests). Radi se o uredjaju RB1100. Također, skoro svi susjedni routeri su podešeni tako da im je primarni DNS upravo glavni router, i vidim da je taj router zakucan na 100%, a najvise resursa uzima upravo DNS servis. Da li je pametno preostalim routerima podesiti DNS od natprovidera (ili googleov DNS) umjesto glavnog routera kako bi se glavni router oslobodio tog dijela DNS request-ova? Hvala unaprijed :)
[ rajco @ 05.12.2015. 18:34 ] @
Vrlo verovatno da ti je DNS vidljiv spolja pa je služio za određene napade. Proveri broj DNS konekcija i količinu saobraćaja. Ako uključiš allow remote request moraš na wan interfejsima zabraniti DNS udp i tcp input...
[ Mile-Lile @ 05.12.2015. 21:42 ] @
čak i ne moraju biti napadi. Tendencija DNS provajdera je da se sve više koristi ANYCAST (DNS upiti se prosleđuju do najbližeg rutera kako bi se smanjila latencija). Ako podesi da firewall dropuje sve tcp/udp zahteve na port 53 spolja (INPUT chain) opet opterećuje CPU...može li se DNS RouterOS-a podesiti da sluša samo na lokalnim interfejsima (tipa 127.0.0.1 i 192.168.88.1)? Znam da Linuxima to može... trebalo bi da i MT može...
[ milosbeo @ 05.12.2015. 23:52 ] @
^^ kao da sam ponovo slusao Krajka na #rsnog-u i DNS Rutiranje :)
Za DNS je bolje da podignes odvojenu linux masinu. Ukoliko nemas fw filter, sigurno je da si bio deo reflektivnog DNS napada i da si ukucao taj RB.
[ Kolins Balaban @ 06.12.2015. 15:51 ] @
Hvala na odgovorima. Znaci imam par opcija opcija:

a) da iskljucim Allow Remote requests i na svim routerima podesim natproviderov DNS dok ne dignem interni DNS za svoju mrezu.
b) da uključim Allow Remote Requests, drupujem dolazni saobracaj na portu 53 na wan interefejsu sem onog koji koji dolazi sa DNS forwardera podesenog na mikrotiku (natproviderovog DNS servera)

Sta preporucujete od DNS servera? BIND9? Pretpostavljam da mi ne treba neka jaka masina za to :)
[ klikton @ 06.12.2015. 17:08 ] @
Pa msm da ti jedina opcija BIND :)
Ukoliko se ne snalazis najbolje sa cli-em lupi mu webmina. Mada iz nekih poslednjih dana, meni je bas lakse preko cli-a.

Ali opet,easy fix ti je da stavis drop 53 na dolazni ethernet.
[ Predrag Supurovic @ 07.12.2015. 00:13 ] @
Ako ti treba kesing server kao sto je taj na Mikrotiku onda prosto digni jos jedan Mikrotik kome ce to biti uloga.

Mada, mislim da ce ti blokiranje portova resiti problem. Na par mesta sam imao problem sa preopterecenjem rutera nepotrebnim upitima spolja pa sam dropovao te konekcije (Mikrotik ne moze da binduje servis samo na izabrane interfejse) i to je resilo stvar.
[ Kolins Balaban @ 07.12.2015. 01:53 ] @
Hvala na odgovoru Predrag. Pretpostavljam da je ovo dovoljno :)

http://rickfreyconsulting.com/...oTik-DNS-Attack-Prevention.txt
[ klikton @ 07.12.2015. 10:52 ] @
Meni je radio posao i ovo samo...

add action=drop chain=input comment="Drop spoljni DNS" dst-port=53 \
in-interface=eth1 protocol=udp

E sad,zavisi sta ti treba, pa je onda ovo varijacija na temu.. Dodaj add listu itd..
[ rajco @ 07.12.2015. 11:11 ] @
Kao što sam pomenuo potrebno je dodati i UDP i TCP pravilo. Velika većina DNS zahteva je UDP, ali određeni procenat je po TCP(za vece zahteve), možeš staviti LOG pravilo pa ispratiti...
[ Sleepless_mind @ 07.12.2015. 11:12 ] @
Citat:
Kolins Balaban:
Hvala na odgovoru Predrag. Pretpostavljam da je ovo dovoljno :)

http://rickfreyconsulting.com/...oTik-DNS-Attack-Prevention.txt


Pre nego postavis ovakva pravila, cisto jos jedno iskustvo, da smo imali za par sati milione IP adresa na listi. :)
Bolje postavi neki timeout za listu, pa da automatski skida i dodaje sta je potrebno.
[ Kolins Balaban @ 07.12.2015. 12:54 ] @
Hvala na sugestiji kolega. Probao sam ovo sinoc, i za manje od pola sata sam imao na listi preko 5000 adresa :) ovaj router je doslovno otvoreni DNS server.
[ Predrag Supurovic @ 07.12.2015. 14:18 ] @
Ne moras da komplikujes, svaki DNS upit koji dolazi spolja je (ako nemas neke specificnosti) spam. Samo ih ubijaj ovako kako je klikton predlozio.

[ Kolins Balaban @ 08.12.2015. 16:54 ] @
Hvala kolegama. Odabrao sam najjednostavniju varijantu :) blockirao UDP i TCP dolazni DNS port.