Artigos sobre: Dicas

Como proteger o MikroTik contra ataques DoS e DDoS relacionados a DNS recursivo aberto

Ao permitir que o serviço DNS do seu MikroTik receba consultas a partir de outros dispositivos da sua rede, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.


Como proteger o MikroTik contra abuso do serviço DNS a partir da internet


Quando você possui um MikroTik que foi configurado para responder a consultas DNS recebidas de outros dispositivos (através da opção "Allow Remote Requests"), é importante garantir que ele não permita a entrada de consultas DNS originadas em outros locais que não seja a sua rede interna.


Para realizar essa proteção, você pode usar regras de firewall no seu Mikrotik. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.


A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.


  1. Acesse a interface de gerenciamento web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login. Após isso, clique no botão WebFig, no topo da página.


  1. No menu à esquerda, acesse New Terminal. Abrirá uma nova janela com o acesso ao terminal.


  1. Digite os comandos abaixo na janela do terminal, um de cada vez, substituindo o endereço 192.168.88.0/24 pelo endereçamento correto da sua rede interna. Confirme com Enter.


  • Exibe as regras de firewall atuais
undefined/ip firewall filter print;


  • Bloqueia entrada de dns 53 udp não originado na rede interna
undefined/ip firewall filter add chain=input dst-port=53 protocol=udp src-address=!192.168.88.0/24 action=drop place-before=0;


  • Bloqueia entrada de dns 53 tcp não originado na rede interna
undefined/ip firewall filter add chain=input dst-port=53 protocol=tcp src-address=!192.168.88.0/24 action=drop place-before=0;


Se nos comandos acima ocorrer o erro no such item, retire a parte place-before=0 e execute-os novamente.


Pronto!


Informações complementares do CERT.br sobre DDoS


Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)


Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos

Atualizado em: 12/02/2024

Este artigo foi útil?

Compartilhe seu feedback

Cancelar

Obrigado!