[ubuntu-ar] [OT] Log extraño de bind9.
Mariano Absatz - gmail
el.baby at gmail.com
Mon Apr 16 16:19:01 UTC 2012
2012/4/16 Guillermo Lisi <guillermolisi at gmail.com>
> On 04/16/2012 10:47 AM, Franco Giovanolli wrote:
> > Estimados, por esas cosas del aburrimiento me puse a ver el log de un
> > servidor dns bind9, y me muestra lo siguiente:
> >
> > .........
> > Apr 16 10:37:04 dnsexterno named[1365]: client 190.195.228.112#64301:
> > update 'dominio.com.ar/IN' denied
> > Apr 16 10:38:29 dnsexterno named[1365]: client 200.45.79.88#59177:
> > update 'dominio.com.ar/IN' denied
> > Apr 16 10:44:44 dnsexterno named[1365]: client 190.195.228.112#2265:
> > update 'dominio.com.ar/IN' denied
> > ............
> >
> > El servidor esta funcionando correctamente, pero no se bien a que se
> > refiere con estos mensajes. Alguien podra ilustrarme?
>
Hace 14 millones de años que no uso BIND.
Sin embargo, a ojímetro, parece un ataque intentando actualizar registros
de DNS remotamente... sospecho que lo que fuere está bien configurado en tu
server ya que está denegando esos updates.
> No son maquinas que estan queriendo comsumir los servicios de ese
> servidor y las rechaza por cuestiones de
> validacion/seguridad/configuracion ?
>
> Esta expuesto a Internet o es un DNS interno ?
> Si esta expuesto a Internet, esta configurado para sincronizar con algun
> DNS publico ?
>
> Hiciste un barrido de puertos desde Internet para saber que tenes expuesto
> ?
>
>
No creo que eso sea 'bloqueable' ya que los protocolos de DNS andan todos
en el mismo port (53), con lo cual no los podés cerrar a nivel firewall
(salvo que uses inspección de paquetes de nivel de aplicación).
Quizás algún sysadmin con más experiencia con un bind9 público pueda
confirmarlo. En principio, no está bueno permitir 'updates' en un servidor
expuesto (uno en general los permite en una red local desde un server dhcp
para tener los nombres de las máquinas a las que se les da IP dinámicamente
en el dns interno).
--
Mariano Absatz - El Baby
www.clueless.com.ar
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.ubuntu.com/archives/ubuntu-ar/attachments/20120416/99ef558d/attachment.html>
More information about the Ubuntu-ar
mailing list