Proteja seu Firewall pfSense® de ataques DoS e DDoS relacionados a DNS recursivo aberto
Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.
Ao permitir que o serviço DNS do seu pfSense® receba consultas, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.
Para realizar essa proteção, você pode usar regras de firewall no seu pfSense®. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.
Nota: A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.
Criando as regras de proteção
-
Acesse a interface de gerenciamento Web de seu pfSense® e efetue login.
-
Navegue até o menu Firewall → Regras → WAN e clique em ** *↑ Adicionar*. **
-
Preencha os dados;
-
Ação: Bloquear;
-
Dispositivo: WAN;
-
Protocolo: TCP/UDP;
-
Origem: Marque a caixa invert match e selecione a opção LAN address;
-
Destino: Defina a porta como DNS (53);
-
-
Salve a regra.
Pronto! Agora apenas requisições DNS originadas em sua rede local serão aceitas por seu pfSense®.
Informações complementares do CERT.br sobre DDoS
Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos