• Tips >  
  • Met deze 4 tips is je DNS-server beter beveiligd

 

Nieuws | woensdag 14 oktober 2015 Deel op Facebook     

Met deze 4 tips is je DNS-server beter beveiligd

DDoS-aanvallen - kortweg pogingen om een computer of computernetwerk door overbelasting onbruikbaar te maken - zijn nog steeds een probleem. Gebruik deze tips om je DNS-server dicht te timmeren en DDoS-aanvallen te voorkomen.

 

Zwakke of foutief geconfigureerde DNS-servers vallen vaak ten prooi aan DDoS-aanvallen. Het probleem van DDoS-aanvallen bestaat al langer, maar hebben de laatste jaren een nieuwe vorm gekregen: DNS amplification.

Bij DNS amplification wordt het DNS-systeem gebruikt. Een DDoS'er (de aanvaller) verstuurt een request naar een DNS-server en geeft daarbij niet zijn maar het doelwit zijn IP-adres op (spoofing) als bron. Het antwoord van de DNS-server wordt vervolgens naar het doelwit gestuurd.
De verzonden request is van die aard dat een DNS-server alle informatie over een domeinnaam terugstuurt. De request - 1 MB/s - levert een veel groter antwoord - 200 MB/s - op (amplification). Het antwoord zorgt voor een overbelasting (flood) en veroorzaakt een slecht of niet meer functioneren van je computer of netwerk.

 

DNS Amplification

 

Hieronder vind je 4 handige tips om DDoS-aanvallen te voorkomen.

 

Schakel open relays uit

Om DNS amplification-aanvallen te voorkomen kan je het aantal binnenkomende verzoeken, waarop je DNS-server reageert, beperken. Voor interne nameservers mogen alleen interne computers en geautoriseerde nameservers contact maken.

Ook externe nameservers kan je beperken. Wanneer een nameserver reageert op elk verzoek, voor welkeender domein, wordt dat een "open relay" genoemd. Zo'n open relay laat een DNS amplification-aanval toe. Externe nameservers worden dus best beperkt tot het reageren op verzoeken binnen hun domein.

 

DNS Respons Rate Limiting (RRL)

Je kan je DNS-server ook beschermen voor DDoS-aanvallen via Response Rate Limiting. Met Response Rate Limiting beperk je het response-verkeer. Response Rate Limiting is bedoeld voor autoritaire nameservers. De response limiet is niet standaard ingeschakeld, maar is beschikbaar vanaf BIND 9.9 en is ook onderdeel van de DNS-services van Windows Server 2016.

Ondersteunt je DNS-server Response Rate Limiting niet, dan bestaan er alternatieven. Met filters in de firewall of een anti-DDoS-dienst kan je het response-verkeer in goede banen leiden.

 

Verwijs niet naar een top level nameserver

Wanneer een autoritaire nameserver een request ontvangt waarvoor het niet autoritair is, stuurt de nameserver het verzoek door naar de top level nameserver. In het bestand "root hints", staan deze servers met naam en IP-adres opgelijst.

Wegens het gevaar van DDoS-aanvallen, wordt zo'n verwijzing naar de top level nameserver afgeraden. In Windows Server 2016 is deze verwijzing standaard uitgeschakeld; BIND oppert al langer om de verwijzing niet meer te maken. In vroegere versies kan zo'n verwijzing manueel worden uitgechakeld door het bestand "root hints" (c:\windows\system32\DNS\cache.dns) te verwijderen.

 

Controleer je apparaten op DNS-services

Scan het netwerk om te weten te komen welke apparten, al of niet onverwacht, in de nameservers draaien. Op die manier kan je alle apparaten die DNS-services gebruiken configureren.

 

Houd ramen en deuren gesloten

Het DNS-protocol, dat ruim 30 jaar geleden werd uitgevonden, functioneert eigenlijk erg goed. Hoewel misbruik nog steeds aanwezig is, zorgt de onderliggende infrastructuur van het internet dat het dataverkeer telkens opnieuw correct verloopt.

Maar dat neemt niet weg dat we op onze lauweren mogen rusten. Wacht niet af en bescherm je DNS-servers tegen DDoS-aanvallen.

Deel dit artikel  Deel op Facebook     

   

Abonneer op onze nieuwsbrief

Ontvang iedere woensdag tips en het laatste nieuws over domeinnamen in je mailbox.

Partners

Domeinnaam registreren bij Nomeo DomeinDeals - domeinnaamregistratie voor webprofessionals cloudstar
Persberichten - Adverteren - Sitemap - Privacy & gebruiksovereenkomst - 2015-2016 © Kreos Services bvba