Mikrotik – Bloqueio do DNS Recursivo

MK-FaixaPretaO RouterOS trás um servidor DNS recursivo, mas sem recursos avançados de configuração (ao contrário de, por exemplo, um servidor Linux ou FreeBSD embarcados com Bind, DJBDNS etc, dos quais é possível fazer configurações avançadas diretamente no serviço DNS). Para evitar ataques de resolução de nomes (Open DNS Recursive Resolver Attack) no Mikrotik, é importante bloquear no firewall o acesso as portas 53 TCP e UDP na(s) interface(s) WAN/Internet, ex:

IP>firewall>filter rules

chain=input action=drop protocol=udp in-interface=ether1-WAN dst-port=53
chain=input action=drop protocol=tcp in-interface=ether1-WAN dst-port=53

Se o firewall do seu RouterOS não bloqueia as conexões entrantes (incluindo o DNS), a regra acima é muito importante para evitar um Ataques de Negação de Serviço Distruibuído (DDoS/Distributed Denial of Service) ao DNS.

Anúncios
Esse post foi publicado em Uncategorized e marcado , . Guardar link permanente.

8 respostas para Mikrotik – Bloqueio do DNS Recursivo

  1. carlos disse:

    Muito bom amigo, eu estava sofrendo com esse tipo de ataque de ontem para hoje, fiz varios bloqueios mais acabei esquecendo de colocar a interface.. rsrsr salvou minha vida!! xD

  2. Odiney disse:

    como faço meu mikrotik não tem action = drop …. é o mesmo que accept ? qual outro poderia usar…

  3. paulo disse:

    Estou com a versão 6,35 do mikrotike as regras não funcionam. ainda consigo usar o meu dns de fora da minha rede. o que devo fazer?

    • eliasandrade disse:

      Paulo, tente passar essas duas regras pro topo da chain filter no firewall (as vezes pode ter outras regras de firewall mais acima e que estejam aceitando os pacotes e nem passando pra essa regra de bloqueio). Abraços

  4. Pp disse:

    Se vc bloquear as coisas pelo forward o registro.br nao conseguira fazer as consultas em.seu dns.. nisso o dns reverso para…

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s