WN - Säkra upp DNS servern

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - Säkra upp DNS servern (https://www.wn.se/forum/showthread.php?t=33906)

Halloj.
Jag har ett tips till nya DNS server användare.
Om man får reda på att sin DNS server är rekursiv (att kunna slå upp alla subdomäner som finns på en adress som dns servern har)
I detta fallet har patrikweb.com blivit ett exempel :lol:
Om man går in på http://dnscheck.iis.se/?time=1229021...861&view=basic så kan man hitta under DNS-server:
"DNS-servern ns1.patrikweb.com (193.27.192.15) är rekursiv."
och om man då hoppar till nästa sida.
http://www.showmyip.com/?host=patrikweb.com och scrollar ner till "Lookup Domain Zones (Sub-Domains):" så kan man hitta alla subdomäner som är under patrikweb.com.
Hittade en guide på Stiftelsen för internetinfrastruktur: http://www.iis.se/domains/dnstech/recursiveresolver där man hänvisar att lägga in

Kod:

options {

[...]

allow-recursion { 127.0.0.1; 192.168.1.1/24; };

[...]

}

Lämpligen kan man byta ut 192.168.1.1/24; till sin ip-range eller kanske tabort den om ingen ska ha tillgång till att göra dns uppslagningar direkt mot servern.

Kan dock inte garantera till 100% att detta kommer fungera. Men jag använder detta själv för att säkra upp det.

Ber om ursäkt för att jag använde patrikweb.com som exempel

Att den är rekursiv och att den tillåter zontransfers är två olika saker.

Rekursiv innebär att den tar på sig uppgiften att helt slå upp domännamn om du frågar den, dvs det är en resolver. Kör man:
dig @ns1.patrikweb.com levonline.com
så får man mycket riktigt levonlines IP-adress som svar:

Citat:

[emil@josefin]emil$ dig @ns1.patrikweb.com levonline.com

; <<>> DiG 9.5.0-P2 <<>> levonline.com @ns1.patrikweb.com
;; global options: *printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37184
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;levonline.com. * * * * * * * * IN * * *A

;; ANSWER SECTION:
levonline.com. * * * * *819 * * IN * * *A * * * 217.70.34.4

;; AUTHORITY SECTION:
levonline.com. * * * * *1920 * *IN * * *NS * * *ns.levonline.com.
levonline.com. * * * * *1920 * *IN * * *NS * * *ns2.levonline.com.
levonline.com. * * * * *1920 * *IN * * *NS * * *ns3.levonline.com.

;; ADDITIONAL SECTION:
ns.levonline.com. * * * 70128 * IN * * *A * * * 217.70.32.12
ns2.levonline.com. * * *9062 * *IN * * *A * * * 84.55.103.229
ns3.levonline.com. * * *20013 * IN * * *A * * * 217.70.32.4

;; Query time: 24 msec
;; SERVER: 193.27.192.15#53(193.27.192.15)
;; WHEN: Thu Dec 11 20:22:56 2008
;; MSG SIZE *rcvd: 148

Att den tillåter zontransfers, AXFR-uppslag, är som sagt en annan sak. Om man kör
dig @ns1.patrikweb.com axfr patrikweb.com
så får man detta svar:

Citat:

[emil@josefin]emil$ dig @ns1.patrikweb.com axfr patrikweb.com

; <<>> DiG 9.5.0-P2 <<>> @ns1.patrikweb.com axfr patrikweb.com
; (1 server found)
;; global options: *printcmd
patrikweb.com. * * * * *86400 * IN * * *SOA * * ns2.patrikweb.com. admin.patrikweb.net. 2006041703 10800 3600 604800 86400
ns3.patrikweb.com. * * *3600 * *IN * * *A * * * 193.27.192.135
patrikweb.com. * * * * *3600 * *IN * * *MX * * *10 beta.patrikweb.net.
ns2.patrikweb.com. * * *3600 * *IN * * *A * * * 91.90.24.250
patrikweb.com. * * * * *3600 * *IN * * *NS * * *ns2.patrikweb.com.
patrikweb.com. * * * * *3600 * *IN * * *A * * * 193.27.192.10
ns1.patrikweb.com. * * *3600 * *IN * * *A * * * 193.27.192.15
patrikweb.com. * * * * *3600 * *IN * * *NS * * *ns1.patrikweb.com.
www.patrikweb.com. * * *3600 * *IN * * *A * * * 193.27.192.10
ns4.patrikweb.com. * * *3600 * *IN * * *A * * * 193.27.192.145
patrikweb.com. * * * * *86400 * IN * * *SOA * * ns2.patrikweb.com. admin.patrikweb.net. 2006041703 10800 3600 604800 86400
;; Query time: 54 msec
;; SERVER: 193.27.192.15#53(193.27.192.15)
;; WHEN: Thu Dec 11 20:25:57 2008
;; XFR size: 11 records (messages 3, bytes 566)

Förstår dock inte meningen med tråden, är ju allmänkunskapar om DNS.

Dock bör man inte tillåta AXFR om man har "hemliga" zoner för intranät eller administrativa delar då det kan ge lite extra info om nätet.

Våra kunder använder även den som resolver, så länge inte hela världen börja använda den så är det fritt att använda den som resolver.

Ser väl inget problem med att tillåta rekursiva uppslagningar på en publik dns, sålänge man håller den patchad ska det vara lungt med cachepoisoning med. Kan det vara skönt att ha en dns man vet alltid funkar (till skillnad från vår bredbandsbolagetdns som hoppat lite upp och ner med svar, mycket timeouts där)

Citat:

Originally posted by patrikweb@Dec 11 2008, 21:48
Förstår dock inte meningen med tråden, är ju allmänkunskapar om DNS.
Dock bör man inte tillåta AXFR om man har hemliga zoner för intranät eller administrativa delar då det kan ge lite extra info om nätet.
Våra kunder använder även den som resolver, så länge inte hela världen börja använda den så är det fritt att använda den som resolver.

Kan även noteras att detta kan minska DDoS attackerna mot servrarna.

Citat:

Ursprungligen postat av webbaccess

Citat:

Ursprungligen postat av patrikweb

Förstår dock inte meningen med tråden, är ju allmänkunskapar om DNS.
Dock bör man inte tillåta AXFR om man har hemliga zoner för intranät eller administrativa delar då det kan ge lite extra info om nätet.
Våra kunder använder även den som resolver, så länge inte hela världen börja använda den så är det fritt att använda den som resolver.

Kan även noteras att detta kan minska DDoS attackerna mot servrarna.

Jag är ändå van vid DDoS, nästan som man får DDoS dagligen ibland, men ja oskyddade DNS servrar är ett problem.

Men inte första gången man fått lite fina paket från en hög DNS servrar, men inte ofta det är över 1Gbit så brukar inte kännas så mycket.

Se även min lilla tjänst http://www.opendns.se/
Listar tre öppna DNS-servrar under ett av Patriks nät. Kan vara fler men eftersom jag inte portscannar folks nät så vet jag inte.

Citat:

Originally posted by iXam@Dec 13 2008, 18:09
Se även min lilla tjänst http://www.opendns.se/
Listar tre öppna DNS-servrar under ett av Patriks nät. Kan vara fler men eftersom jag inte portscannar folks nät så vet jag inte.

Då kan du inte ha scannat mycket, bör finnas betydligt mer än 3 dns servrar totalt.

Allt från bredbandskunder, företagsanslutningar, vps, colo, ded servrar, lek nät etc så bör finnas några till minns.

Att portscanna igenom alla IP som finns bör inte ta så långtid om man kör tillräckligt många anslutningar samtidigt.

Som jag skrev har jag inte portscannat över huvud taget utan endast frågat kända DNS-servrar. Men jag kanske tjackar en 15-kronors VPS av dig och sätter igång en nmap? ;)
Elller kanske seriöst, skulle du tillåta en netwide nmap portscan på UDP och TCP port 53 från en VPS hos dig? För i så fall har du en kund till.

Du får portscanna hur mycket du vill från vårt nät, då det inte bryter mot lagen.

Fast Mini VPS bör du bara klara enstaka anslutningar samtidigt, så inte du skulle klarat köra igång flera nmap samtidigt.

Dock några saker du inte bör göra från Mini VPS:

* Hacka inte förmycket, kör inte några ssh bruteforce på hela internet.
* Låt bli att attackera (DoS) folk eller liknande.
* Om du kör en proxy på den, se till att den inte är helt publikt.
* Kör ingen öppen SMTP relay.