- 17-03-23BIT-2A upgrade: Nieuwe koelmachines
- 30-12-22Wijziging stroomtarieven en portal updates
- 25-11-22BIT Friday
- 21-09-22BIT levert restwarmte aan Warmtebedrijf Ede
- 14-09-22Ruim helft organisaties kijkt naar duurzaamheid in keuze voor datacenter of cloudprovider
- 17-08-22Grand Prix Radio kiest voor betrouwbare hosting van radio-automatisering bij datacenter BIT
- 10-08-22Helft IT-beslissers gaat bij keuze voor nieuwe cloudleverancier voor grote naam
- 21-07-22Ruim een derde van IT-beslissers wil overstap maken naar Europees cloudplatform
- 30-06-22Eén op de vijf IT-beslissers heeft weinig vertrouwen in databescherming en privacy in de cloud
- 27-05-22Update RFO netwerk incident 17-04-2022
DNS security
29-07-2008 12:01:16
De afgelopen weken is een nieuw gat in DNS bekend gemaakt, wat eenvoudig te misbruiken is als een caching nameserver geen random source-poorten gebruikt. Bij BIT waren geen updates nodig omdat we PowerDNS Recursor (3.1.7) draaien, welke random source-poorten gebruikt vanaf versie 3.0 (2006).
Een ander belangrijk aspect van DNS beveiliging is het afschermen van caching nameservers. Een caching nameserver zonder IP-restricties is te misbruiken als DDoS Amplifier, tevens is het recente gat een stuk eenvoudiger te misbruiken.
Bij BIT gebruiken we de allow-from-file feature van PowerDNS Recursor (geschreven door een van onze medewerkers) om een lijst van adressen te configureren welke de caching nameservers mogen gebruiken. BIT krijgt, net zoals alle andere Europese LIR‘s, adressen van RIPE. Via de RIPE Whois server is het mogelijk om alle adressen (route en route6 objecten) van een AS op te vragen.
Het ripe-ranges script gebruikt de Net::Whois::RIPE perl module om alle route/route6 objecten van het BIT AS (12859) op te halen, en maakt daarmee een allow-from file voor PowerDNS Recursor.
Wil je meer weten?
Of wil je een vrijblijvende rondleiding door onze datacenters? Neem dan contact met ons op via sales@bit.nl of 0318 648 688.