Pular para o conteúdo
Português - Brasil
  • Não há sugestões porque o campo de pesquisa está em branco.

Proteja seu Firewall pfSense® de ataques DoS e DDoS relacionados a DNS recursivo aberto

Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.

Ao permitir que o serviço DNS do seu pfSense® receba consultas, é importante garantir que ele não fique exposto na internet. Um servidor DNS recursivo aberto na internet pode se tornar um alvo de ataques DoS (Denial of Service) e pode ser abusado para participar de ataques DDoS (Distributed Denial of Service) via DNS.

Para realizar essa proteção, você pode usar regras de firewall no seu pfSense®. Essas regras permitirão a entrada de tráfego DNS originado na sua rede interna, bloqueando a entrada de outros tráfegos DNS destinados ao roteador.

Nota: A configuração sugerida a seguir é simples e não será a ideal quando já há diversas outras regras de firewall, cenários com múltiplas redes ou com uso de IPv6. Essas situações exigiriam regras mais elaboradas, afim de manter o bom funcionamento e otimizar a performance do firewall.

Criando as regras de proteção

  1. Acesse a interface de gerenciamento Web de seu pfSense® e efetue login.

  2. Navegue até o menu Firewall → Regras → WAN e clique em  ** *↑ Adicionar*. **

  3. Preencha os dados;

    1. Ação: Bloquear;

    2. Dispositivo: WAN;

    3. Protocolo: TCP/UDP;

    4. Origem: Marque a caixa invert match e selecione a opção LAN address;

    5. Destino: Defina a porta como DNS (53);

  4. Salve a regra.

Pronto! Agora apenas requisições DNS originadas em sua rede local serão aceitas por seu pfSense®.  


Informações complementares do CERT.br sobre DDoS


Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)

Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos