Stránka 1 z 1
hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 09:00
od okoun
nevím jestli něco někde není blbě ale primární bind9 server má u srcnatu ve firewallu neobvykle hodně dat oproti jinému pravidlu, konkrétně 6,1GB pro srovnání srcnat pro 250 lidí má 2,7GB.
je to normální?
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 10:15
od ludvik
Ne.
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 12:58
od okoun
hmm co s tím? pravidlo je napsaná na 100% dobře, tak že by chybně nastavený bind9?
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 13:05
od Majklik
A to srcnat pravidlo překládá co, jen odchozí dotazy bindu ven do internetu, výlučně port 53? Nebo všechnu komunikaci z toho linuxu, takže může pocházet od čehokoliv?
A pokud je ten bind9 jen resolver a nic jiného, tak třeba stačí, aby ti nějaký zákazník využívající tento server používal DNS tunel.
Se podívej, co ti tam běhá za DNS dotazy..
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 16:58
od okoun
překládá úplně vše, porty tam nejsou omezeny, dst na ten server neexituje tedy nikdo z venku ho zneužít nemůže a kdyby tak je to i v konfigu bindu zakázané
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 21:55
od ludvik
Použij tcpdump/torch. Jinak ti tu můžeme sepsat teorií, kolik chceš.
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 22:00
od okoun
to jsem použil, ale že by tam bylo vidět něco zajímavého nikoli, normálně tam jede provoz na 53
Re: hodně Bytes u SRC pro bind9 server
Napsal: 20 Dec 2014 22:40
od Majklik
Teď už asi uvidíš prd, těch několik milionů mailů s nabídkou na zvětšení penisu už asi odešlo pryč...
Provozuješ netflow? Tak se podívej, co v něm máš, zda to šlo na DNS port nebo řádilo něco jiného.
A hlavně u takového jednoúčelového serveru prskni hned na router před tu plechovku patřičný firewall. Spojení na něj možné jen na port 53 z tvé sítě, pak na SSH z vybraných adres kde sedíš, víc netřeba. Směrem ven má povolen jen 53, spojení na určený SMTP server kam předává mail logy, povolení na spojneí na server s repozitářem pro aktualizace, NTP servery a tím to hasne. Takový hacknutý server je pak celkem útočníkovi celkem nic a nemůže z něj ani moc ěkodit uvnitř sítě.
Trénuj, než začne takovou kofniguraci pro všechno vyžadovat NBÚ v rámci informační bezpečnosti prasat, pokud stále připojuješ nějaké ty větší chovatele a plynové stanice.
Re: hodně Bytes u SRC pro bind9 server
Napsal: 21 Dec 2014 11:21
od okoun
no jak jsem psal server nemá veřejnou adresu a DST natem tam není ani jendopravidlo, tak jak tedy může někdo něco zneužít?
Re: hodně Bytes u SRC pro bind9 server
Napsal: 21 Dec 2014 12:08
od Dalibor Toman
pokud otravuje nejaky klient resolvenim nesmyslu, pak to IMHO nejlepe zjistis pomoci 'rndc recursing':
/etc/named.conf:
options {
...
recursing-file "/var/named/data/named_recurse.txt";
----
rndc recursing
less /var/named/data/named_recursing.txt