Hlavní navigace

Názor k článku Princip amplification útoků zneužívajících DNS, NTP a SNMP od ludva - Trochu pozdě, já vím. Kontrola zdrojových IP se logicky...

Článek je starý, nové názory již nelze přidávat.

  • 1. 3. 2018 12:24

    ludva

    Trochu pozdě, já vím.

    Kontrola zdrojových IP se logicky musí provádět na koncových částech sítě, tam kde lze bezpečně znát "povolené" IP. Tedy obecně u koncových uživatelů. Lze i na hraničních routerech - vím, co z mé sítě může odcházet. Opravdu nevím, proč bych měl povolit cokoliv, když to cokoliv ani neroutuji, tedy nemám jak vrátit případnou odpověď ...
    Obdobně to chodí v u BGP - naprostá většina peerů může mít filtr povolující jen segmenty toho konkrétního peera. Kdyby to nebylo, tak (klidně chybou v konfiguraci) oznámím do zbytku světa, že mám segment třeba Googlu ... to by byla docela sranda, co?

    A naprosto, ale naprosto stejné je DNS. Můj rekurzivní DNS server nemá za práci nic jiného, než odpovídat svým klientům (na mé síti) na jakýkoliv dotaz a těm ostatním pouze na dotazy na domény, pro které je autoritativní.
    Tak to je, bylo a bude ... povolení rekurze komukoliv je prostě zbytečné a z principu nebezpečné.
    Omezení dotazů pomocí RRL je poměrně bezpečná věc - nepočítají se jen dotazy z IP, ale pomocí trochu složitějšího algoritmu.

    Ani jedno sice nezabrání případnému zneužití ze strany mé sítě, ale vlastní sítě máme přeci jenom pod kontrolou, že? Čili to dokážeme rozpoznat a vyřešit ... na rozdíl od zneužití z Kamčatky.