Artigos sobre: Dicas

Proteja seu Firewall pfSense® de ataques DoS e DDoS relacionados a DNS recursivo aberto

Ao permitir que o serviço DNS do seu pfSense® receba consultas, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.


Como proteger o pfSense® contra abuso do serviço DNS a partir da internet



Para realizar essa proteção, você pode usar regras de firewall no seu pfSense®. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.

A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.

Acesse a interface de gerenciamento Web de seu pfSense® e efetue login.

Navegue até o menu Firewall → Regras → WAN e clique em ↑ Adicionar.



Preencha os dados;
Ação: Bloquear;
Dispositivo: WAN;
Protocolo: TCP/UDP;
Origem: Marque a caixa invert match e selecione a opção LAN address;
Destino: Defina a porta como DNS (53);
Salve a regra.



Pronto! Agora apenas requisições DNS originadas em sua rede local serão aceitas por seu pfSense®.


Informações complementares do CERT.br sobre DDoS



Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)

Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos

Atualizado em: 31/07/2024

Este artigo foi útil?

Compartilhe seu feedback

Cancelar

Obrigado!