Open resolver: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Rvahtel (talk | contribs)
Rvahtel (talk | contribs)
No edit summary
 
(4 intermediate revisions by the same user not shown)
Line 37: Line 37:




= WIndows 2008/2003 serveri seadistamine =
= Windows 2008/2003 serveri seadistamine =


;Seadsitamine kasutades käsurida:
;Seadsitamine kasutades käsurida:
Line 48: Line 48:
   
   


* dnscmd  - dns seadsitamise programm
* dnscmd  - dns seaditamise programm
* ServerName  - server ,mida soovitakse seadistada. Võib kasutada ka IP aadressi, kohalik masina DNS serveri asemel võib kasutada ka punkti "."
* ServerName  - server, mida soovitakse seadistada. Võib kasutada ka IP aadressi, kohaliku masina DNS serveri asemel võib kasutada ka punkti "."
* /Config -  seadistamiseks vajalik parameeter.
* /Config -  seadistamiseks vajalik parameeter.
* /NoRecursion- rekrusiivsete päringute lubamine ja keelamine. {1|0}. 1 off, 0 on. Vaikimisi on lubatud.
* /NoRecursion- rekrusiivsete päringute lubamine ja keelamine. {1|0}. 1 off, 0 on. Vaikimisi on lubatud.
Line 61: Line 61:
# Serveri valikute all tee linnuke kasti "Disable recursion"
# Serveri valikute all tee linnuke kasti "Disable recursion"


 
= Windows 2000 serveri seadistamine =
 
= WIndows 2000 serveri seadistamine =


Rekrusiivsete päringute keelamine:
Rekrusiivsete päringute keelamine:

Latest revision as of 12:05, 9 May 2011

Autorid: Peep Binsol (AK31), Rene Vahtel (DK31)

Sissejuhatus

Open resolveriks nimetatakse nimeserverit, mis pakub nimelahendusteenust ka väljapoole oma administratiivset domeeni. Enamasti on open resolveriks puudulikult konfigureeritud DNS server. Ilma otsese vajaduseta tasuks kindlasti vältida open resolveri püstipanekut oma võrku. Pole mingit vajadust pakkuda avalikku teenust kõigile. See tähendab enamasti, et nimelahendust saab kasutada kogu internet. Teiseks saab kogu maailmale avatud DNS serverit kasutada DDOS rünnakute läbiviimiseks. [1] [2] Lisaks on avatud serverit rünnata vahemälu manipuleerimise teel. [3] Nii satuksid ohtu konkreetse serveri teenuseid kasutavad kliendid.

Bind9 konfigureerimine

Näide kuidas ACL'i kasutades vältida nimeserveri muutumist open resolveriks. named.conf.options näitefail

acl me {192.168.7.0/24;};

options {
        directory "/var/cache/bind";

         forwarders {
                8.8.8.8;
                8.8.4.4;
         };

        allow-recursion { me; };
        allow-query { me; };
        allow-transfer { me; };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};


  • acl - access control list, nimekiri võrkudest või ip aadressidest
  • allow-recursion - kas päringud on lubatud "forwarders" nimeserveritesse
  • allow-query - kas päringud on lubatud
  • allow-transafer - kas tsooni transfer on lubatud


Windows 2008/2003 serveri seadistamine

Seadsitamine kasutades käsurida
  1. Ava käsurida ("command prompt")
  2. Sisesta järgnevad käsud ning vajuta ENTER:
dnscmd <ServerName> /Config /NoRecursion {1|0}


  • dnscmd - dns seaditamise programm
  • ServerName - server, mida soovitakse seadistada. Võib kasutada ka IP aadressi, kohaliku masina DNS serveri asemel võib kasutada ka punkti "."
  • /Config - seadistamiseks vajalik parameeter.
  • /NoRecursion- rekrusiivsete päringute lubamine ja keelamine. {1|0}. 1 off, 0 on. Vaikimisi on lubatud.


Seadistamine kasutajaliidesega
  1. Ava DNS haldus ("DNS Manager")
  2. Vali avanenud puust DNS server ning vajuta Omadused ("Properties")
  3. Vali antud serverid Seaded ("Advanced properties")
  4. Serveri valikute all tee linnuke kasti "Disable recursion"

Windows 2000 serveri seadistamine

Rekrusiivsete päringute keelamine:

  1. Ava DNS (Start -> Programs, Administrative Tools -> DNS)
  2. Vali avanenud puust DNS server ning vajuta Omadused ("Properties")
  3. Vali antud serverid Seaded ("Advanced properties")
  4. Serveri valikute all tee linnuke kasti "Disable recursion"



Open resolver test

  • Käsurealt küsimine kasutades dig programmi:

Kontrollime nimeserverit 193.40.254.227

dig +short 227.254.40.193.dnsbl.openresolvers.org
127.0.0.2

Juhul kui vastus on 127.0.0.2 siis on tegu openresolveriga.

Teine variant (kontrollitakse masinas kasutatavad nimeserverit):

dig +short amiopen.openresolvers.org TXT
"Your resolver at 193.40.56.245 is CLOSED"

Lingid

  • Ubuntu Bind9 konfigureerimine [4]
  • konfinäide: [5]
  • Openresolver [6]
  • Windowsi serverite seadistamine [7] , [8]