Deel dit onderwerp alstublieft!

Blok inkomende DNS aanvragen

Blok inkomende DNS aanvragen op je Mikrotik router. Waarom moet je externe DNS aanvragen of anders gezegd DNS-requests blokken op je Mikrotik router?

DNS aanvragen  veroorzaken zoveel verkeer op je Mikrotik router dat uw router daardoor kan vastlopen. Dit komt omdat de CPU van je Mikrotik router volledig belast kan worden.

Dit ondermijnt de stabiliteit en performance van je volledig netwerk. Blokkeren van inkomende DNS aanvragen voorkomt DNS-aanvallen.
Als je op je Mikrotik router de DNS-server activeert is het de bedoeling dat de DNS-server binnen uw netwerk wordt gebruikt en niet buiten je netwerk.

Veel mensen weten niet dat de DNS-server op de Mikrotik kan misbruikt worden

Blok DNS-aanvragen door middel van één firewall rule. De Mikrotik DNS-server is vervolgens geen volwaardige DNS-server en is ontworpen om op je interne netwerk te worden gebruikt. Op de firewall heb ik ook de log aangevinkt met een log prefix. Op deze manier kan je in de log zien hoeveel DNS-aanvragen er binnen komen en dat zijn er heel wat.

In RouterOS 6.x is de DNS-cache beperkt tot 100 gelijktijdige verzoeken. Om meer verzoeken aan te kunnen moet u een vrij grote cache instellen om ervoor te zorgen dat DNS-namen zo snel mogelijk worden opgelost als het antwoord niet in de cache staat.

De router gebruikt één cache server, en alleen als deze niet reageert, gaat de router naar de volgende ingegeven DNS-server. Indien de eerste DNS-server terug reageert treed deze terug in werking.

Blok inkomende DNS aanvragen

Bron: Mikrotik.com

Wat betekent DNS?

Ofschoon een echte DNS-server meer in zijn mars heeft hou ik het immers bij de Mikrotik DNS-functie. DNS is namelijk de afkorting van Domain Name System.
Door middel van een DNS-server kunnen IP-adressen omgezet worden in namen en omgekeerd, kunnen namen omgezet worden in IP-adressen. 

De Mikrotik router heeft vervolgens ook een klein DNS-server functie in RouterOs. Namelijk de IP-adressen van je netwerktoestellen omzetten in namen en een cash om bepaalde DNS-aanvragen vlugger te laten verlopen binnen je eigen netwerk.

Doch deze Mikrotik DNS server is dus niet gemaakt om vervolgens op alle DNS-requests of anders gezegd DNS-aanvragen te antwoorden.

Daarvoor is de CPU veel te licht en bovendien is het niet de bedoeling om je router open te stellen voor iedereen. Blok daarom DNS-aanvragen die van buitenaf je netwerk komen. 

Over naar het blokken van externe DNS-aanvragen

Blok inkomende DNS aanvragen
  1. Klik in het hoofdvenster op "Ip".
  2. Vervolgens klik verder op "Firewall".
Blok inkomende DNS aanvragen
  1. Klik op het blauwe kruisje om een nieuwe firewall rule aan te maken.
Blok inkomende DNS aanvragen
  1. Bij "chain" selecteer je "input" wat wil zeggen alle data aanvragen wat in de router wil komen.
  2. Als protocol selecteer "UDP".
  3. Vervolgens vul je de poort 53 in.
  4. Bij "In interface" selecteer de interface die naar je ISP-modem/router gaat.
  5. Klik op het tabblad "action".
Blok inkomende DNS aanvragen
  1. Bij "action" selecteer "drop".
  2. Vink het vakje "log" aan, bij "log prefix" vul in het vak iets in bijvoorbeeld: "extern_dns_requests.
  3. Bevestig met "ok".
Blok inkomende DNS aanvragen
  1. Klik op "copy" want tegenwoordig zijn er ook DNS aanvragen in TCP vorm.
Blok inkomende DNS aanvragen
  1. Verander in het tweede tabblad het protocol in "TCP".
  2. Bevestig met ok en sluit de firewall vensters.

Het instellen van de log file op je Mikrotik router

Blok inkomende DNS aanvragen
  1. In het hoofdvenster klik je op "system".
  2. Vervolgens klik je op "logging".
Blok inkomende DNS aanvragen
  1. Bij topics selecteer je "DNS".
  2. Als prefix vul je dezelfde prefix van daarjuist aan.
  3. Bevestig vervolgens met "ok".
Blok inkomende DNS aanvragen

Als je nu bij logs kijkt zie je de externe DNS aanvragen binnen stromen.
Met als resultaat "server failure" de DNS-aanvragen worden geblokt.