Рейтинг:-1

BIND9 установлен на точках безопасности CentOs

флаг ru

Надеюсь, у вас все хорошо.

На самом деле мы запускаем DNS-серверы на CentO с использованием BIND9, они рекурсивные/авторитетные.

Мой вопрос заключается в том, чтобы фильтровать/останавливать/ограничивать типы DNS-запросов, такие как (TXT, NXDOMAIN и т. д.)

Заранее спасибо.

С уважением, Откровенный

Patrick Mevzek avatar
флаг cn
Ваш вопрос слишком широк и не содержит слишком много деталей. Вы должны смотреть на RRL и RPZ как на функции связывания, которые могут предоставить по крайней мере часть решения, помимо базовых ACL (не уверен, что вы имеете в виду под фильтрующими клиентами: ваши рекурсивные серверы имен не должны быть открыты для всего мира, в то время как ваши авторитетные имеют to) Ваш первый шаг, однако, должен состоять в том, чтобы отделить авторитетный сервис от рекурсивного.
Franks_Emma avatar
флаг ru
@PatrickMevzek Спасибо за ваш ответ, я посмотрю на RPZ, поскольку я знаю, что я не думаю, что мы можем фильтровать типы запросов, такие как записи A, IP-адреса клиентов, если честно, я знаю о функции RPZ, я думаю, что не могу сделайте это, и поскольку порт UDP 53 открыт, если один клиент скомпрометирован, как мы можем защитить DNS-серверы от этих DNS-атак, я не уверен, что PSAD может блокировать и идентифицировать эти атаки с помощью сигнатур. обнаруживать DNS-атаки или достаточно использовать PSAD и iptables, нет необходимости в поиске? и спасибо заранее.
Patrick Mevzek avatar
флаг cn
«если один клиент скомпрометирован, как мы можем защитить DNS-серверы от этих DNS-атак». В любом случае, вы спрашиваете, прежде чем переходить к решениям, вам нужно будет точно объяснить, от какой атаки вы пытаетесь защитить (без подробного списка), потому что неясно что один клиент может сделать с DNS-сервером в ваших представлениях.
Franks_Emma avatar
флаг ru
@ Патрик Мевзек, я согласен, что это не очень хорошо объяснено с моей стороны. Так же, как туннелирование DNS, поскольку порт udp 53 открывается в iptables, может ли инструмент PSAD идентифицировать DNS-атаки на основе сигнатур. Заранее спасибо, Патрик.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.