Open resolver
Teema võetud - Peep Binsol, Rene Vahtel
Sissejuhatus
Open resolveriks nimetatakse nimeserverit, mis pakub nimelahendusteenust ka väljapoole oma administratiivset domeeni. Enamasti on open resolveriks puudulikult konfigureeritud DNS server. Ilma otsese vajaduseta tasuks kindlasti vältida open resolveri püstipanekut oma võrku. Pole mingit vajadust pakkuda avalikku teenust kõigile. See tähendab enamasti, et nimelahendust saab kasutada kogu internet. Teiseks saab kogu maailmale avatud DNS serverit kasutada DDOS rünnakute läbiviimiseks. Lisaks on avatud serverit rünnata vahemälu manipuleerimise teel. Nii satuksid ohtu konkreetse serveri teenuseid kasutavad kliendid.
Bind9 konfigureerimine
Näide kuidas ACL'i kasutades vältida nimeserveri muutumist open resolveriks. named.conf.options näitefail
acl me {192.168.7.0/24;};
options {
directory "/var/cache/bind";
forwarders {
8.8.8.8;
8.8.4.4;
};
allow-recursion { me; };
allow-query { me; };
allow-transfer { me; };
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
- acl - access control list, nimekiri võrkudest või ip aadressidest
- allow-recursion - kas päringud on lubatud "forwarders" nimeserveritesse
- allow-query - kas päringud on lubatud
- allow-transafer - kas tsooni transfer on lubatud
Open resolver test
- Käsurealt küsimine kasutades dig programmi:
Kontrollime nimeserverit 193.40.254.227
dig +short 227.254.40.193.dnsbl.openresolvers.org 127.0.0.2
Juhul kui vastus on 127.0.0.2 siis on tegu openresolveriga.
Teine variant (kontrollitakse masinas kasutatavad nimeserverit):
dig +short amiopen.openresolvers.org TXT "Your resolver at 193.40.56.245 is CLOSED"
- Veebipõhine liides: http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl