收到中華電信告警 DNS Open Resolver 弱點該怎麼辦?
Zyxel Employee
何謂 DNS Open Resolver ?
DNS Open Resolver 是指一種 DNS 伺服器設定,允許它向任何請求者回應DNS查詢,而不限制只回應特定範圍內的請求。這意味著任何人都可以使用這樣的DNS伺服器來查詢DNS資訊,無需身份驗證或限制。
一般來說,DNS服務應該只允許內網使用,而不允許外部網路連接到防火牆的DNS服務。但若是管理員設定錯誤,則有可能導致外網能存取防火牆 DNS 服務。
中華電信會協助客戶進行弱點掃描,檢查他們所分配的 IP 是否存在 DNS Open Resolver 漏洞。如果發現此類問題,將發出告警提醒客戶進行修復。
本文將提供步驟教您如何排除 DNS Open Resolver 的風險。
弱點排除步驟
請依照以下設定步驟,排除此問題。
以下設定畫面使用 ATP200 V5.39(ABFW.0)、Nebula 18.10 進行截圖。
步驟1 - 確認風險是否存在
將筆電連接到外部網路(例如使用手機熱點),並開啟命令提示字元確認是否存在風險。輸入指令 【nslookup google.com.tw 8.8.8.8】,將其中的 IP 地址替換為您收到通知的 WAN IP。如果該 IP 允許 DNS 查詢,您將會看到成功解析的結果。否則,表示該 IP 未開放 DNS 服務。
若沒有回應,表示 DNS Open Resolver 風險並不存在,則無需理會此告警。
步驟2 - 調整防火牆 DNS 設定
本地管理防火牆 :
前往【設定 > 系統 > DNS】新增規則,封鎖所有來自 WAN 連接防火牆 DNS 的流量。
雲端管理防火牆
前往【設定 > 防火牆 > 安全性政策】,檢查是否有規則允許任何來源連接設備 53 Port。
若存在下圖範例規則,請刪除或停用。預設值已允許內網任何 IP 存取防火牆 DNS,因此無須再額外設定。
步驟3 - 驗證設定成果
將筆電連接到外部網路(例如使用手機熱點),並開啟命令提示字元確認是否存在風險。
- 輸入指令 nslookup google.com.tw [被通報的 WAN IP]
確認結果是否為【要求逾時】,若依然有回應,請再次檢查上一步驟之規則設定是否錯誤。
附錄 - 防火牆規則過濾器
若您使用本地管理防火牆,依然想查詢哪一條規則導致允許外網存取防火牆 DNS ,可以透過過濾器功能篩選查詢,即可進行編輯調整。
