[GTER] Redirecionar queries DNS de clientes externos

César de Tassis Filho ctassisf at gmail.com
Fri Mar 15 11:33:13 -03 2013


Olá!

Sim, entendi seu problema.
Eu entendo que a Oi (e o OpenDNS, por exemplo) responde/respondia NXDOMAIN
com uma página deles dizendo que "essa página não existe" (e fazendo alguma
propaganda também, claro), mas isso viola neutralidade da rede.
Além disso a sua situação é diferente desse caso da Oi... A Oi responde
apenas NXDOMAIN com uma página padrão, mas se o cara tentar acessar
www.google.com a Oi vai responder com os IPs do Google.
Quando você edita uma zona DNS para apontar www.google.com para uma página
sua você está violando uma zona DNS que não é sua, invadindo a privacidade
do usuário (pois você vai ter acesso aos cookies daquele domínio, por
exemplo) e prejudicando sua segurança. Isso pode virar uma bola de neve,
pois dependendo do TTL que você configura nessa sua view o usuário pode ter
problemas mesmo depois de alterar o servidor DNS na máquina/CPE dele.
Phishers utilizam esse tipo de "manobra" para roubar senhas de bancos...
Invadem o CPE do usuário, mudam o DNS recursivo do cara para um servidor
deles, no servidor deles aponam www.itau.com.br para um IP que não é do
Itaú e voilá.
O correto é fazer seu servidor DNS recursivo responder *apenas* para a sua
rede interna, bloqueando acesso recursivo externo. Isso pode ser
configurado direto no BIND ou via firewall.

César


2013/3/15 Lucas Willian Bocchi <lucas.bocchi at gmail.com>

> Bom dia Cesar.
>
> Eu assumi um "legado problemático" em um negócio ao qual presto
> consultoria. Eram dois sócios num provedor, um ficou com um bloco de
> ip e o outro outro (racharam um /21 em 2, compraram os roteadores e
> agora estão com o tráfego dividido). Porém, ainda existem alguns
> clientes que usam a estrutura em comum com WAN's implementadas em
> vlan.
>
> Como o pessoal do outro provedor não tem muita expertise, usavam o DNS
> do google até outro dia, quando houve aquele pequeno problema
> retratado lá na lista CAIU. Reconfiguraram muitos clientes para usar o
> "antigo" dns e deixaram assim. O meu patrão quer que apareça uma
> mensagem dizendo que o fulano está usando o dns da nossa empresa e
> solicitando a reconfiguração do mesmo. Em resumo, o cara quer fazer
> propaganda dele com isso.
> Ele se baseou naquela idéia da "página não encontrada" da oi por
> exemplo, que aparece aquela página padrão de busca quando não encontra
> a página.
>
> Abraços
>
> Em 15 de março de 2013 00:12, César de Tassis Filho
> <ctassisf at gmail.com> escreveu:
> > Boa noite.
> >
> > Não entendi bem sua pergunta, mas se você está falando um servidor DNS
> > recursivo (tipo Google Public DNS) eu acho que é possível implementar
> com a
> > ajuda de views no BIND (alterando root-hint, zona do root, apontando tudo
> > pra um IP específico ou manobras do tipo), mas seria bastante "nasty",
> pois
> > pode quebrar DNSSEC dos domínios acessados, HSTS<
> http://dev.chromium.org/sts>,
> > entre várias outras coisas (como cache das respostas DNS), sem nas
> > eventuais violações de segurança.
> > Qual o seu propósito com isso? Monetizar? Fazer as pessoas pararem de
> usar
> > seu servidor DNS recursivo e instruí-las a usar o Google Public DNS, por
> > exemplo? Talvez um firewall na sua ponta seja menos traumático.
> >
> > César
> >
> >
> > 2013/3/14 Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> >
> >> Caros
> >>
> >> Gostaria de idéias para redirecionar o tráfego DNS que vier de fora da
> >> minha rede para uma página de aviso, onde vou colocar a informação de
> >> que o DNS que está sendo usado não é o da operadora e sim o nosso.
> >>
> >> Creio que a melhor forma de resolver é usando views, fazendo com que o
> >> tráfego válido dos meus clientes seja resolvido corretamente. Mas e
> >> como faço para "interceptar" o dos outros ips e redirecionar para este
> >> meu site, digamos o dnserrado.meudominio.com.br?
> >>
> >> Agradeço desde já
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list