Proteja seu Firewall pfSense de ataques DoS e DDoS relacionados a DNS recursivo aberto
Ao permitir que o serviço DNS do seu pfSense receba consultas, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.
Para realizar essa proteção, você pode usar regras de firewall no seu pfSense. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.
A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.
Acesse a interface de gerenciamento Web de seu pfSense e efetue login.
Navegue até o menu Firewall → Regras → WAN e clique em ↑ Adicionar.
Preencha os dados;
Ação: Bloquear;
Dispositivo: WAN;
Protocolo: TCP/UDP;
Origem: Marque a caixa invert match e selecione a opção LAN address;
Destino: Defina a porta como DNS (53);
Salve a regra.
Pronto! Agora apenas requisições DNS originadas em sua rede local serão aceitas por seu pfSense.
Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos
Como proteger o pfSense contra abuso do serviço DNS a partir da internet
Para realizar essa proteção, você pode usar regras de firewall no seu pfSense. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.
A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.
Acesse a interface de gerenciamento Web de seu pfSense e efetue login.
Navegue até o menu Firewall → Regras → WAN e clique em ↑ Adicionar.
Preencha os dados;
Ação: Bloquear;
Dispositivo: WAN;
Protocolo: TCP/UDP;
Origem: Marque a caixa invert match e selecione a opção LAN address;
Destino: Defina a porta como DNS (53);
Salve a regra.
Pronto! Agora apenas requisições DNS originadas em sua rede local serão aceitas por seu pfSense.
Informações complementares do CERT.br sobre DDoS
Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos
Atualizado em: 26/06/2024
Obrigado!