[dns-esp] Consulta - Buenas Practicas para Configuración DNS

Marco Díaz mdiaz en nic.cl
Vie Oct 28 10:42:48 CLST 2016 

Hola,

Con respecto a buenas prácticas, manual corta palos, etc, hay mucha
documentación, con diferentes enfoques, por ejemplo alguna documentación
al respecto:

http://www.bcp38.info/index.php/Main_Page

https://kb.isc.org/article/AA-00874/0/Best-Practices-for-those-running-Recursive-Servers.html

Lo que puedo recomendar/comentar con respecto a como prepararse para un
escenario de DDoS, son desde el punto de vista de la infraestructura:

- Tener diferenciados enlaces nacional/internacional, que en nuestro
país para casi todos es menor que la capacidad de las máquinas para
contestar.
- Utilizar anycast, de manera de repartir la carga entre ISP/enlaces, y
poder redistribuir la carga. Como alternativa, si se dispone de una
intranet grande, se puede hacer algo similar con ospf.

- tener mucho cuidado con las opciones de firewall que se utilicen,
puede ocurrir que ante un ataque, un firewall corte o limite el tráfico
que la máquina DNS aún era capaz de procesar. Hemos observado casos en
que es mas caro analizar y bloquear tráfico DNS a que la máquina los
procese directamente.


Es deseable, que los servidores de DNS, estén en un segmento de red
distinto del resto de los servicios, y para grandes organizaciones tener
además además los servidores DNS en redes distintas entre sí. De ésta
forma se tiene mas flexibilidad para realizar cambios de ruteo sin
afectar a todos los clientes ni todos los servicios.

Una medida mas bien administrativa, es tener una excelente comunicación
con mis proveedores de red, de manera de poder reaccionar rápidamente
ante un incidente, ya sea cambiando reglas de ruteo, anunciando prefijos
mas pequeños, etc.

Poder llegar a una copia de un servidor raíz cercana, de manera que un
corte internacional no me deje "sin dns".

En específico de BIND, las recomendaciones son:
	- mantener separados los servicios de recursión y autoritativo siempre,
en servidores separados.
	- Que el servidor recursivo no sea público, sino que sólo para mis
clientes.
	- Parches de seguridad al día.
	- Utilizar y tener bien ajustados los parámetros de las las
herramientas de Rate Limit,
	   que en las últimas versiones de Bind viene incorporado.
 	- Si se utilizan muchos logs (como consultas por ejemplo) en caso de
un alza significativa de tráfico desactivarlo, ya que si bien son muy
útiles, merman la capacidad de la máquina de responder con rapidez.

Además, también recomendamos mantener listo para operar, algún software
alternativo de DNS, como por ejemplo NSD/Unbound, Knot para entrar en
operación en caso de alguna vulnerabilidad o problema de BIND que no
permita la correcta operación.

Otra cosa, es el monitoreo constante, para DNS la utilización de DSC con
gráficos ayuda a determinar el tráifco normal, y poder darse cuenta
cuando deja de serlo, el tipo de consultas e intentar realizar las
medidas antes.

En resumen, es una mezcla de sobre-provisionamiento, con herramientas y
protocolos de mitigación.

Saludos,
Marco.

-- 
Marco A. Díaz Soto
DNS Admin NIC Chile                            mdiaz [@] nic [.] cl
Miraflores 222 piso 14, Santiago CHILE                +56 2 9407753
Codigo Postal: 832-0198                           http://www.nic.cl

El 27/10/16 a las 11:51, Eduardo Romero Urra escribió:
> Hola Carlos,
> 
> Conversando con gente de NIC Chile a nosotros nos han dado algunos tips,
> quizas ellos podrian explicarlos aca.
> 
> Al menos de lo que he leido, las opciones de tener DNS sobre Anycast y
> con soporte IPv6 mitiga en parte el problema.
> 
> Saludos
> 
> 
> 
> ------------------------------------------------------------------------
> *De: *"Carlos Tirado Elgueta" <carlos.tirado en gmail.com>
> *Para: *"DNS en español" <dns-esp en listas.nic.cl>
> *Enviados: *Jueves, 27 de Octubre 2016 11:32:59
> *Asunto: *[dns-esp] Consulta - Buenas Practicas para Configuración DNS
> 
> Estimados.
> 
> Conforme a los ultimos acontecimientos que han ocurrido en la red,
> referente a DDoS hacia proveedores de DNS que han ocasionado
> colapso/caida/indisponibilidad de algunos servicios, necesito saber si
> existe algun paper/libro/indicaciones/tips sobre buenas practicas para
> Configuración y Administración de DNS (Bind especificamente)
> 
> Saludos!
> 
> -- 
> Carlos Francisco Tirado Elgueta
> Google Apps for Business Partner Chile
> Zimbra Partner Chile
> RedHat Enterprise Linux Partner Chile
> http://www.chilemedios.cl
> 
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
> 

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20161028/2b63d8a2/attachment.sig>

Más información sobre la lista de distribución dns-esp