Pular para o conteúdo
Português - Brasil
Request Support My Tickets
Go to Dashboard
  • Não há sugestões porque o campo de pesquisa está em branco.

Como proteger o MikroTik contra ataques DoS e DDoS relacionados a DNS recursivo aberto

Permitir que o serviço DNS do seu MikroTik receba consultas de dispositivos da sua rede é essencial para sua operação, mas expor esse serviço na internet pode torná-lo vulnerável a ataques DoS (Denial of Service) e abusos em ataques DDoS (Distributed Denial of Service) via DNS. Proteger o MikroTik contra esses abusos é fundamental para garantir a segurança e o desempenho da sua rede.

Se o MikroTik está configurado para responder a consultas DNS de dispositivos na sua rede interna (com a opção "Allow Remote Requests" habilitada), você deve implementar regras de firewall para garantir que apenas dispositivos da rede interna possam enviar consultas DNS ao roteador. Isso evita que tráfegos DNS indesejados de fora da rede interna alcancem o serviço.

Aviso: Essas regras de firewall são básicas e adequadas para cenários simples. Se sua rede usa múltiplas sub-redes, IPv6 ou regras de firewall mais complexas, será necessário ajustar as configurações de forma específica.

1. Acessando a interface de gerenciamento

  1. Abra um navegador e acesse a interface web do seu roteador MikroTik. Geralmente, o endereço padrão é http://192.168.88.1.

  2. Efetue login com as suas credenciais de administrador.

  3. Após o login, clique no botão WebFig no topo da página para acessar a interface avançada.

2. Criando regras de Firewall

  1. Acesse o menu New Terminal.

  2. Digite os comandos abaixo no terminal, substituindo 192.168.88.0/24 pelo endereço correto da sua rede interna. Pressione Enter após cada comando.

  • Exibir regras de Firewall atuais:
/ip firewall filter print;
  • Bloquear entrada de DNS UDP não originado na rede interna:
/ip firewall filter add chain=input dst-port=53 protocol=udp src-address=!192.168.88.0/24 action=drop place-before=0;
  • Bloquear entrada de DNS TCP não originado na rede interna:
/ip firewall filter add chain=input dst-port=53 protocol=tcp src-address=!192.168.88.0/24 action=drop place-before=0;

Observação: Se ocorrer o erro no such item, remova a parte place-before=0 dos comandos e execute-os novamente

Pronto! Agora seu MikroTik está protegido contra ataques DoS e DDoS relacionados a DNS recursivo aberto.

 

Material complementar