DNS Sinkhole
-
Hola
Estoy tratando de implementar medidas de seguridad adicionales en mi pfsense box, y me gustaría montar un DNS sinkhole*.
¿Alguien tiene experiencia con este tipo de montajes sobre pfsense?- DNS Sinkhole:
Un sinkhole es un sistema por el que determinadas peticiones DNS se resuelven de forma diferente para, normalmente, desviar el tráfico a otro destino controlado (bien sea localhost o una IP determinada). Se utiliza de forma que evitemos que se contacte con el servidor malicioso, combatiendo bastante activamente botnets y virus/downloaders.
Muchas gracias
-
pfSense puede actuar como DNS para tus redes locales.
Y éste, a su vez, emplear los DNS externos que desees.
Y en el servicio DNS Forwarder de pfSense puedes "falsear" registros (DNS Split, explicado en documentación).
Por tanto, tienes bastante juego con esto. De hecho, impidiendo con LAN Rules que los equipos locales usen DNS externos todo queda en manos del servicio DNS de pfSense y/o otros que puedas tener en tus redes locales.
Es una forma de hacer filtrado de destinos.
-
Muchas gracias por la respuesta.
Amplío un poco más la información de mi propuesta.
La idea que llevo en mente es tener una tarea automatizada (script) que descargue la lista de sitios dominios "maliciosos" de sitios como "http://www.malwaredomains.com/" y de forma automática actualice la zona en el unbound. Como alternativa, había pensado que todas las peticiones hechas al unbound en pfsense fuesen encaminadas a un mi servidor BIND en la DMZ y que este hiciese las peticiones recursivas a DNS públicos y también tuviese el listado de dominios bloqueados, pero me gustaría hacerlo todo en un único paso; tal y como ya lo tengo implementado con la parte de "publicidad" habíendo creado sendos scripts que descargan y actualizan dos ficheros .conf de unbound para bloquear los dominios que contienen publicidad.
Seguiré investigando y si encuentro la solución lo publicaré por aquí
Gracias de nuevo por la respuesta.