- 01-04-25BIT as a Service
- 26-03-25Internetproviders verliezen rechtszaak over blokkeren websites
- 19-02-25BIT introduceert server-side e-mailfiltering met Sieve
- 06-02-25Shared hosting wordt opgefrist
- 28-11-24ECOFED uitgeroepen tot publieksfavoriet bij Computable Awards
- 21-11-24Een goede cloud heeft een kundige dirigent nodig
- 17-10-24ECOFED wint ICT Innovatieprijs Regio Foodvalley 2024
- 01-08-24BIT geeft kaarten weg voor F1 in Zandvoort
- 24-04-24Status.bit.nl in nieuw jasje!
- 12-04-24Nieuw bij BIT: GPU hosting
DNS security
29-07-2008 12:01:16
De afgelopen weken is een nieuw gat in DNS bekend gemaakt, wat eenvoudig te misbruiken is als een caching nameserver geen random source-poorten gebruikt. Bij BIT waren geen updates nodig omdat we PowerDNS Recursor (3.1.7) draaien, welke random source-poorten gebruikt vanaf versie 3.0 (2006).
Een ander belangrijk aspect van DNS beveiliging is het afschermen van caching nameservers. Een caching nameserver zonder IP-restricties is te misbruiken als DDoS Amplifier, tevens is het recente gat een stuk eenvoudiger te misbruiken.
Bij BIT gebruiken we de allow-from-file feature van PowerDNS Recursor (geschreven door een van onze medewerkers) om een lijst van adressen te configureren welke de caching nameservers mogen gebruiken. BIT krijgt, net zoals alle andere Europese LIR‘s, adressen van RIPE. Via de RIPE Whois server is het mogelijk om alle adressen (route en route6 objecten) van een AS op te vragen.
Het ripe-ranges script gebruikt de Net::Whois::RIPE perl module om alle route/route6 objecten van het BIT AS (12859) op te halen, en maakt daarmee een allow-from file voor PowerDNS Recursor.
Wil je meer weten?
Of wil je een vrijblijvende rondleiding door onze datacenters? Neem dan contact met ons op via sales@bit.nl of 0318 648 688.