Vivemos em um mundo regido por urls e ips. Todos nós utilizamos a Internet para nos divertir, pagar contas e ganhar dinheiro. A infraestrrutura de armazenamento, processamento e transmissão de dados mudou, e muito, nesses últimos anos. Está tudo mais rápido, dinâmico e acessível.

Porém, um importante serviço ou tecnologia não evoluiu ou não teve importantes investimentos aplicadados para o seu benefício, estou falando dos servidores de DNS. Muitos falam na utilização de criptografia ou na hardering destes servidores, mas pouco foi feito. Grandes empresas ainda classificam os servidores de DNS como máquinas sem importância, restando a elas, um hardware com poucos recursos. Isso tem o seu ponto de verdade já que a resolução de nomes consome poucos recursos de processamento e memória, daí a alocação de 256MB ou até mesmo 128MB para estes servidores. Mas não é por este motivo que estes servidores não devem ter a sua segurança auditada de tempos em tempos, além da aplicação de patches segurança ou correção.

Acontece que sem servidores de DNS, mais de 90% da população mundial que utiliza a Internet pararia de navegar por ela. São raras as pessoas utilizam endereços IP para acessar um determinado serviço ou site, onde, em alguns casos, isso se torna inviável devido a capacidade que os webserver/HTTPD têm de responder diversos sites utilizando um único endereço IP – VirtualHosts.

Houve casos de um serviço de email simplesmente parar de responder devido há uma má configuração de DNS, em outros casos, ocorreu a parada total de acesso à um determinado site porque o servidor de DNS externo estava recebendo um ataque DDoS, sem falar de alguns outros problemas que grandes provedores ou empresas de hospedagem tiveram com os seus servidores nos últimos 2 anos.

A configuração de um servidor de DNS é simples e rápida de ser implementada, o problema está no fato do menosprezo que administradores de sistemas e empresas dão nos quesitos suporte e segurança. Quantos de vc`s já atualizaram o BIND ou aplicaram algum patch de segurança no Active Directory nesses últimos anos ?  É aí que mora o perigo.

Os servidores de DNS são alvos de ataque por dois motivos:

  • Na sua grande maioria, eles nao estão dimensionados adequadamente e nem configurados para bloquear um ataque DDoS.
  • Contornar um ataque DDoS direcionado à um servidor de DNS não é uma das coisas mais simples de se fazer, principalmente quando falamos dos principais servidores de resolução de nomes de um grande datacenter.

Uma coisa que vem me preocupando é a migração ou utilização de endereços IPv6. Teremos que adicionar e alterar hosts nos servidores de DNS, passando das entradas A para AAAA. Simples, não ?!. Mas imaginem fazendo isso para 40.000, 100.0000 e até mesmo 1.000.000.000 de entradas. Vários falarão que a criação de um simples script shell poderá resolver este problema, mas você confiarão a alteração de um dos itens mais importantes da sua empresa em um simples shell ?

Tomem cuidado com os seus servidores de DNS e sempre os deixem atualizados.

Compartilhar:

Deixe uma resposta

Fechar Menu