A carregar...
Como configurar o seu servidor DNS para impedir que hackers o utilizem para atacar a rede
Testar o seu servidor
Para testar o seu servidor, introduza o seu IP nesta página: https://www.ovh.pt/cgi-bin/tools/dns_security.cgi
Proteger o seu servidor
.
Se utiliza o Bind
Queira editar o ficheiro de configuração named.conf que se encontra normalmente numa destas diretorias:
E adicione a seguinte linha, no inicio do ficheiro:
/etc/bind/named.conf /etc/named.conf /var/chroot/named/etc/named.conf
E adicione a seguinte linha, no inicio do ficheiro:
acl "trusted" { 127.0.0.1; ::1; };
Deve depois modificar a secção "options".
Se não encontra a secção "options", é possível que ela esteja noutro grupo de ficheiros, normalmente numa destas diretorias:
Após ter encontrado o ficheiro, adicione a seguinte linha na secção "options":
Se não encontra a secção "options", é possível que ela esteja noutro grupo de ficheiros, normalmente numa destas diretorias:
/etc/bind/named.conf.options /etc/named.conf.options /var/chroot/named/etc/named.conf.options
Após ter encontrado o ficheiro, adicione a seguinte linha na secção "options":
allow-recursion { trusted; };Após ter efetuado a alteração, as 2 modificações irão dar algo deste género, por exemplo:
acl "trusted" { 127.0.0.1; ::1; };
options {
directory "/etc/namedb";
allow-recursion { trusted; };
};
Deve reiniciar Bind para que a nova configuração seja aplicada.
O comando a utilizar é, consoante a sua distribuição:
O comando a utilizar é, consoante a sua distribuição:
/etc/init.d/bind restart /etc/init.d/named restart
Para se assegurar que a configuração está agora correta, deverá relançar o teste através do URL no inicio deste guia.
Se utiliza uma versão antiga do Bind (Bind 8.x por exmeplo), estas modificações podem não ser suficientes para tornar seguro o seu servidor DNS. Neste caso leia a secção seguinte.
Se utiliza uma versão antiga do Bind (Bind 8.x por exmeplo), estas modificações podem não ser suficientes para tornar seguro o seu servidor DNS. Neste caso leia a secção seguinte.
.
Se utiliza uma versão antiga do Bind
Se não utiliza o seu servidor DNS como DNS autoritário para as zonas dos seus domínios, pode modificar a configuração para que ela não "escute" o IP público do seu servidor, ao adicionar na secção "options":
options {
listen-on { 127.0.0.1; };
listen-on-v6 { ::1; };
}
Depois deverá reiniciar o Bind novamente.
Se utiliza o seu servidor DNS como DNS autoritário, e possui as seguintes linhas no ficheiro de configuração do Bind:
Se utiliza o seu servidor DNS como DNS autoritário, e possui as seguintes linhas no ficheiro de configuração do Bind:
zone "." {
type hint;
file "/etc/bind/db.root";
};Deve desativá-lo, como aqui:
/*
zone "." {
type hint;
file "/etc/bind/db.root";
};
*/Depois deve reinciiar o Bind. De seguida deve utilizar a infraestrutura DNS Cache da OVH (213.186.33.99) ao invés do seu servidor DNS par resolver pedidos recursivos, a modificação encontra-se no ficheiro /etc/resolv.conf. O ficheiro deverá conter apenas uma linha:
nameserver 213.186.33.99
Pode de seguida testar novamente a sua configuração através do URL presente no inicio deste guia.
.
Se utiliza Windows
Queira verificar as informações que se encontram no website da Microsoft:
http://technet.microsoft.com/en-us/library/cc770432.aspx
Nota: Se alojar as zonas DNS dos seus nomes de domínio E deseja utilizar o seu próprio servidor DNS de cache, deverá executar duas instâncias de servidores DNS de forma a impedir que o servidor cache responda "publicamente".
http://technet.microsoft.com/en-us/library/cc770432.aspx
Nota: Se alojar as zonas DNS dos seus nomes de domínio E deseja utilizar o seu próprio servidor DNS de cache, deverá executar duas instâncias de servidores DNS de forma a impedir que o servidor cache responda "publicamente".
.
Se não aloja zonas DNS no seu servidor
E não tem a certeza de qual é a sua configuração, poderá desativar o serviço DNS e utilizar unicamente a infraestrutura DNS cache da OVH: 213.186.33.99