Como proteger o MikroTik contra ataques DoS e DDoS relacionados a DNS recursivo aberto
Ao permitir que o serviço DNS do seu MikroTik receba consultas a partir de outros dispositivos da sua rede, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.
Quando você possui um MikroTik que foi configurado para responder a consultas DNS recebidas de outros dispositivos (através da opção "Allow Remote Requests"), é importante garantir que ele não permita a entrada de consultas DNS originadas em outros locais que não seja a sua rede interna.
Para realizar essa proteção, você pode usar regras de firewall no seu Mikrotik. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.
A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.
Acesse a interface de gerenciamento web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login. Após isso, clique no botão WebFig, no topo da página.
No menu à esquerda, acesse New Terminal. Abrirá uma nova janela com o acesso ao terminal.
Digite os comandos abaixo na janela do terminal, um de cada vez, substituindo o endereço 192.168.88.0/24 pelo endereçamento correto da sua rede interna. Confirme com Enter.
Exibe as regras de firewall atuais
Bloqueia entrada de dns 53 udp não originado na rede interna
Bloqueia entrada de dns 53 tcp não originado na rede interna
Se nos comandos acima ocorrer o erro no such item, retire a parte place-before=0 e execute-os novamente.
Pronto!
Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos
Como proteger o MikroTik contra abuso do serviço DNS a partir da internet
Quando você possui um MikroTik que foi configurado para responder a consultas DNS recebidas de outros dispositivos (através da opção "Allow Remote Requests"), é importante garantir que ele não permita a entrada de consultas DNS originadas em outros locais que não seja a sua rede interna.
Para realizar essa proteção, você pode usar regras de firewall no seu Mikrotik. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.
A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.
Acesse a interface de gerenciamento web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login. Após isso, clique no botão WebFig, no topo da página.
No menu à esquerda, acesse New Terminal. Abrirá uma nova janela com o acesso ao terminal.
Digite os comandos abaixo na janela do terminal, um de cada vez, substituindo o endereço 192.168.88.0/24 pelo endereçamento correto da sua rede interna. Confirme com Enter.
Exibe as regras de firewall atuais
/ip firewall filter print;Bloqueia entrada de dns 53 udp não originado na rede interna
/ip firewall filter add chain=input dst-port=53 protocol=udp src-address=!192.168.88.0/24 action=drop place-before=0;Bloqueia entrada de dns 53 tcp não originado na rede interna
/ip firewall filter add chain=input dst-port=53 protocol=tcp src-address=!192.168.88.0/24 action=drop place-before=0;Se nos comandos acima ocorrer o erro no such item, retire a parte place-before=0 e execute-os novamente.
Pronto!
Informações complementares do CERT.br sobre DDoS
Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos
Atualizado em: 12/02/2024
Obrigado!