Artigos sobre: Dicas

Proteja seu Firewall pfSense® de ataques DoS e DDoS relacionados a DNS recursivo aberto

Ao permitir que o serviço DNS do seu pfSense® receba consultas, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.



Como proteger o pfSense® contra abuso do serviço DNS a partir da internet


Para realizar essa proteção, você pode usar regras de firewall no seu pfSense®. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.


A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.


  1. Acesse a interface de gerenciamento Web de seu pfSense® e efetue login.


  1. Navegue até o menu Firewall → Regras → WAN e clique em ** ↑ Adicionar. **



  1. Preencha os dados;
  • Ação: Bloquear;
  • Dispositivo: WAN;
  • Protocolo: TCP/UDP;
  • Origem: Marque a caixa invert match e selecione a opção LAN address;
  • Destino: Defina a porta como DNS (53);
  • Salve a regra.



  1. Pronto! Agora apenas requisições DNS originadas em sua rede local serão aceitas por seu pfSense®.



Informações complementares do CERT.br sobre DDoS


Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)


Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos

Atualizado em: 31/07/2024

Este artigo foi útil?

Compartilhe seu feedback

Cancelar

Obrigado!