web-dev-qa-db-ja.com

DNSサーバーを世界に公開するのはどのくらい危険ですか?

私は、LAN上のDNSとしてPiholeを使用していますが、地球上のどこにいても、それを「グローバル」DNSサーバーとして使用しようとしています。

1つの解決策は、LANでVPNを使用し、piholeをそのVPNゲートウェイのデフォルトDNSとして設定することです。大丈夫ですが、何らかの理由で毎回VPNトンネルをマウントできない場合があります。

そこで、ホームルーターのポート53を開いて、トラフィックをpiholeサーバーにリダイレクトすることを考えていました。

DNSサーバーが見つかり、使用されているが、ボットネットなどが使用されている場合、意図せずにDDOSになることは別として、それを行うリスクは何ですか? Webをスキャンしている人が最終的にそのDNSサーバーを見つけて、いくつかの(悪い)理由でそれを使用するかもしれないと思いますが、結局私のLANは危険にさらされていますか?

2
Ozwel

DNSサーバーが見つかり、使用されているが、ボットネットなどが使用されている場合、意図せずにDDOSになることは別として、それを行うリスクは何ですか? Webをスキャンしている人が最終的にそのDNSサーバーを見つけて、いくつかの(悪い)理由でそれを使用するかもしれないと思いますが、結局私のLANは危険にさらされていますか?

理論的には、開いているポートがあると攻撃面が増加します。使用しているDNSソフトウェアに深刻な脆弱性が見つかると、LANが危険にさらされる可能性があります。

最大のリスクは、DNSサーバーが DNS増幅攻撃 の無意識の参加者になることです。また、ホーム接続が悪質なトラフィックで溢れ、飽和のために使用できなくなる可能性もあります。

不正使用を最小限に抑えるために、レート制限(RRL)を設定することもできます。 ここ は、たとえば、Bindでの実装方法です。

私がプライベートDNSサービスに対して通常行うことは、OpenVPNによって使用されるローカルインターフェース(tun0)のみをリッスンするようにリゾルバー(Unboundなど)を構成することです。したがって、VPNクライアントにのみ表示され、インターネット全体には公開されません。

したがって、最善の解決策はVPNを使用することです。これはすべての状況で便利ではないと述べましたが、次にできることはポートノッキングを設定することです。これは無名のセキュリティですが、このシナリオでは私には十分だと思われます。これが、コンセプトを説明する example です。ただし、ルーターがあるため、いくつかのポートを開く必要があります(定義するノッキングシーケンスで必要なポート)。

私が間違っている場合は修正してください。ただし、Piholeの doc を確認したところ、組み込みのDNS 'サーバー'はdnsmasqであるという印象を持っているので、 GoogleやOpenDNSなどの上流サーバーにリクエストを送信するforwarderのみです。次に、これはBindやUnboundのような実際のリゾルバーではなく、利点はそれほど明白ではありません。

ただし、アンバインドでPi-holeを使用する方法について説明します。 Pi-holeを再帰DNSサーバーソリューションとして設定する

3
Anonymous