Estimados.
Conforme a los ultimos acontecimientos que han ocurrido en la red, referente a DDoS hacia proveedores de DNS que han ocasionado colapso/caida/indisponibilidad de algunos servicios, necesito saber si existe algun paper/libro/indicaciones/tips sobre buenas practicas para Configuración y Administración de DNS (Bind especificamente)
Saludos!
Hola Carlos,
Conversando con gente de NIC Chile a nosotros nos han dado algunos tips, quizas ellos podrian explicarlos aca.
Al menos de lo que he leido, las opciones de tener DNS sobre Anycast y con soporte IPv6 mitiga en parte el problema.
Saludos
----- Mensaje original ----- De: "Carlos Tirado Elgueta" carlos.tirado@gmail.com Para: "DNS en español" dns-esp@listas.nic.cl Enviados: Jueves, 27 de Octubre 2016 11:32:59 Asunto: [dns-esp] Consulta - Buenas Practicas para Configuración DNS
Estimados.
Conforme a los ultimos acontecimientos que han ocurrido en la red, referente a DDoS hacia proveedores de DNS que han ocasionado colapso/caida/indisponibilidad de algunos servicios, necesito saber si existe algun paper/libro/indicaciones/tips sobre buenas practicas para Configuración y Administración de DNS (Bind especificamente)
Saludos!
Les comparto un blogpost que no es un BCP sino una explicación de por qué afecto tanto el incidente de DYN.
https://www.internetsociety.org/blog/tech-matters/2016/10/how-survive-dns-dd...
La primer parte será aburrida para uds. porque es muy introductoria... pero el diagnóstico y las preguntas son interesantes:
"But on Friday, all the many companies and services that were using Dyn as their only DNS provider suddenly found that a substantial part of the Internet’s user community couldn’t get to their sites. They found that they were sharing the same fate as their DNS provider in a way that would not have been true before the large degree of centralization with DNS hosting providers."
Los BCOP para DNS no hubieran ayudado en este caso… tampoco el Manifesto de Ruteo (MANRs) o BCP38. Este fue un caso de DDoS para el que no estábamos preparados.
Christian O'Flaherty oflaherty@isoc.orgmailto:oflaherty@isoc.org Regional Development - Internet Society Skype/Gmail/Yahoo!: christian.oflaherty Mobile/WhatsApp: +598 98769636
On Oct 27, 2016, at 11:51 AM, Eduardo Romero Urra <eromerou@interior.gov.clmailto:eromerou@interior.gov.cl> wrote:
Hola Carlos,
Conversando con gente de NIC Chile a nosotros nos han dado algunos tips, quizas ellos podrian explicarlos aca.
Al menos de lo que he leido, las opciones de tener DNS sobre Anycast y con soporte IPv6 mitiga en parte el problema.
Saludos <firma-eromerou.jpg>
De: "Carlos Tirado Elgueta" <carlos.tirado@gmail.commailto:carlos.tirado@gmail.com> Para: "DNS en español" <dns-esp@listas.nic.clmailto:dns-esp@listas.nic.cl> Enviados: Jueves, 27 de Octubre 2016 11:32:59 Asunto: [dns-esp] Consulta - Buenas Practicas para Configuración DNS
Estimados.
Conforme a los ultimos acontecimientos que han ocurrido en la red, referente a DDoS hacia proveedores de DNS que han ocasionado colapso/caida/indisponibilidad de algunos servicios, necesito saber si existe algun paper/libro/indicaciones/tips sobre buenas practicas para Configuración y Administración de DNS (Bind especificamente)
Saludos!
-- Carlos Francisco Tirado Elgueta Google Apps for Business Partner Chile Zimbra Partner Chile RedHat Enterprise Linux Partner Chile http://www.chilemedios.clhttp://www.chilemedios.cl/
dns-esp mailing list dns-esp@listas.nic.clmailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp _______________________________________________ dns-esp mailing list dns-esp@listas.nic.clmailto:dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola,
Con respecto a buenas prácticas, manual corta palos, etc, hay mucha documentación, con diferentes enfoques, por ejemplo alguna documentación al respecto:
http://www.bcp38.info/index.php/Main_Page
https://kb.isc.org/article/AA-00874/0/Best-Practices-for-those-running-Recur...
Lo que puedo recomendar/comentar con respecto a como prepararse para un escenario de DDoS, son desde el punto de vista de la infraestructura:
- Tener diferenciados enlaces nacional/internacional, que en nuestro
país para casi todos es menor que la capacidad de las máquinas para contestar.
- Utilizar anycast, de manera de repartir la carga entre ISP/enlaces, y
poder redistribuir la carga. Como alternativa, si se dispone de una intranet grande, se puede hacer algo similar con ospf.
- tener mucho cuidado con las opciones de firewall que se utilicen,
puede ocurrir que ante un ataque, un firewall corte o limite el tráfico que la máquina DNS aún era capaz de procesar. Hemos observado casos en que es mas caro analizar y bloquear tráfico DNS a que la máquina los procese directamente.
Es deseable, que los servidores de DNS, estén en un segmento de red distinto del resto de los servicios, y para grandes organizaciones tener además además los servidores DNS en redes distintas entre sí. De ésta forma se tiene mas flexibilidad para realizar cambios de ruteo sin afectar a todos los clientes ni todos los servicios.
Una medida mas bien administrativa, es tener una excelente comunicación con mis proveedores de red, de manera de poder reaccionar rápidamente ante un incidente, ya sea cambiando reglas de ruteo, anunciando prefijos mas pequeños, etc.
Poder llegar a una copia de un servidor raíz cercana, de manera que un corte internacional no me deje "sin dns".
En específico de BIND, las recomendaciones son: - mantener separados los servicios de recursión y autoritativo siempre, en servidores separados. - Que el servidor recursivo no sea público, sino que sólo para mis clientes. - Parches de seguridad al día. - Utilizar y tener bien ajustados los parámetros de las las herramientas de Rate Limit, que en las últimas versiones de Bind viene incorporado. - Si se utilizan muchos logs (como consultas por ejemplo) en caso de un alza significativa de tráfico desactivarlo, ya que si bien son muy útiles, merman la capacidad de la máquina de responder con rapidez.
Además, también recomendamos mantener listo para operar, algún software alternativo de DNS, como por ejemplo NSD/Unbound, Knot para entrar en operación en caso de alguna vulnerabilidad o problema de BIND que no permita la correcta operación.
Otra cosa, es el monitoreo constante, para DNS la utilización de DSC con gráficos ayuda a determinar el tráifco normal, y poder darse cuenta cuando deja de serlo, el tipo de consultas e intentar realizar las medidas antes.
En resumen, es una mezcla de sobre-provisionamiento, con herramientas y protocolos de mitigación.
Saludos, Marco.
-
Carlos Tirado Elgueta -
Christian O'Flaherty -
Eduardo Romero Urra -
Marco Díaz