Os servidores de DNS, configurados como “open resolver”, pos...

Próximas questões
Com base no mesmo assunto
Q930582
Redes de Computadores DNS (Domain Name System) , Segurança de Redes ,
Ano: 2013 Banca: CCV-UFC Órgão: UFC Prova: CCV-UFC - 2013 - UFC - Analista de Tecnologia da Informação - Segurança da Informação |
Q930582 Redes de Computadores
Os servidores de DNS, configurados como “open resolver”, possibilitam respostas a consultas de qualquer host na Internet. Sendo assim, em muitos casos, utilizados para ataques de negação de serviço distribuído. Uma forma de evitar o “open resolver” seria:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: Alternativa D

Vamos entender o contexto da questão e a razão pela qual a alternativa D está correta.

O tema central da questão é o DNS (Domain Name System) e, mais especificamente, a configuração dos servidores DNS para evitar que se tornem "open resolvers". Um open resolver é um servidor DNS que responde a consultas de qualquer host na Internet, o que pode ser explorado em ataques de negação de serviço distribuído (DDoS).

Para resolver essa questão, é necessário compreender alguns conceitos importantes:

1. ACL (Access Control List): Uma lista que define quais endereços IP têm permissão para acessar determinados recursos. No caso do DNS, a ACL é usada para definir quais hosts podem fazer consultas recursivas.

2. Recursão no DNS: Quando um servidor DNS realiza consultas a outros servidores em nome do cliente para resolver um nome de domínio.

3. Opção allow-recursion: Configuração utilizada para permitir que apenas hosts específicos (definidos em uma ACL) possam fazer consultas recursivas ao servidor DNS.

4. Opção blackhole: Configuração que define endereços IP para os quais o servidor DNS não deve responder, geralmente utilizados para bloquear endereços maliciosos.

A alternativa D aborda corretamente a configuração segura de um servidor DNS para evitar que ele seja um open resolver. Veja o porquê:

Justificativa da Alternativa D:

Na alternativa D, é sugerido criar duas ACLs: uma chamada x, contendo os endereços IP privados, e outra chamada y, contendo os endereços das sub-redes locais. Em seguida, são configuradas as opções allow-recursion e blackhole:

  • allow-recursion { y; }: Permite consultas recursivas apenas para os endereços das sub-redes locais, restringindo o acesso e evitando que o servidor atue como um open resolver.
  • blackhole { x; }: Bloqueia endereços IP privados específicos, aumentando a segurança contra possíveis ataques internos.

Essa configuração é eficaz porque restringe a recursão apenas às sub-redes locais, impedindo que hosts externos usem o servidor DNS para consultas recursivas, e ao mesmo tempo, bloqueia endereços IP potencialmente maliciosos.

As outras alternativas não oferecem uma solução completa para evitar que o servidor DNS se torne um open resolver, seja por falta de restrição adequada (como na alternativa B) ou por foco inadequado (como nas alternativas A, C e E).

Espero que essa explicação tenha ajudado a entender melhor o tema e a razão pela qual a alternativa D é a correta. Se tiver mais dúvidas, estou à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Acertei, mas confesso que rodei um pouco para estudar e entender melhor essa ACLs. Segue link para referência http://www.zytrax.com/books/dns/ch7/queries.html#allow-recursion

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas