- 24-04-24Status.bit.nl in nieuw jasje!
- 12-04-24Nieuw bij BIT: GPU hosting
- 25-03-24BIT breidt netwerkconnectiviteit uit met aansluiting op NL-ix^2
- 13-03-24No More Leaks: Samenwerken tegen cybercriminaliteit
- 03-03-24Geen verandering twee jaar na invoering sancties tegen Russische media: FOIC roept (wederom) op tot einde van ondemocratische censuur
- 29-01-24Onzichtbare upgrades
- 16-01-24BIT's Wido Potters wint Felipe Rodriquez Award voor inzet voor privacy
- 10-01-24BIT en partners zetten de koers voor een gedecentraliseerde Europese cloud met ECOFED-project
- 02-01-24Onze eigen stroom inkopen: de resultaten van 2023
- 24-11-23BIT Friday 2023
DNS security
29-07-2008 12:01:16
De afgelopen weken is een nieuw gat in DNS bekend gemaakt, wat eenvoudig te misbruiken is als een caching nameserver geen random source-poorten gebruikt. Bij BIT waren geen updates nodig omdat we PowerDNS Recursor (3.1.7) draaien, welke random source-poorten gebruikt vanaf versie 3.0 (2006).
Een ander belangrijk aspect van DNS beveiliging is het afschermen van caching nameservers. Een caching nameserver zonder IP-restricties is te misbruiken als DDoS Amplifier, tevens is het recente gat een stuk eenvoudiger te misbruiken.
Bij BIT gebruiken we de allow-from-file feature van PowerDNS Recursor (geschreven door een van onze medewerkers) om een lijst van adressen te configureren welke de caching nameservers mogen gebruiken. BIT krijgt, net zoals alle andere Europese LIR‘s, adressen van RIPE. Via de RIPE Whois server is het mogelijk om alle adressen (route en route6 objecten) van een AS op te vragen.
Het ripe-ranges script gebruikt de Net::Whois::RIPE perl module om alle route/route6 objecten van het BIT AS (12859) op te halen, en maakt daarmee een allow-from file voor PowerDNS Recursor.
Wil je meer weten?
Of wil je een vrijblijvende rondleiding door onze datacenters? Neem dan contact met ons op via sales@bit.nl of 0318 648 688.