Blokowanie DNS – informacja dla administratorów sieci lokalnych

W związku z licznymi atakami DDoS przez usługę DNS, na skutek „niewłaściwej konfiguracji” niektórych serwerów na terenie Uczelnianej Sieci Komputerowej, wprowadziliśmy na brzegu USK mechanizm kontrolny w postaci filtracji zapytań DNS (53/UDP). Za niewłaściwą konfigurację serwera uznajemy taką, która nie wyłącza odpowiedzi rekursywnych ani nie wprowadza ograniczonej, przynajmniej do przestrzeni adresowej PŁ, listy dostępowej dla klientów, którzy mogą wysyłać zapytania i otrzymać odpowiedzi od serwera.

 

Filtracja przepuszcza do wnętrza sieci uczelnianej zapytania adresowane do serwerów uczelnianych:

dns.p.lodz.pl

212.51.207.67

dns1.p.lodz.pl

212.51.207.70

dns2.p.lodz.pl

212.51.207.68

dns3.p.lodz.pl

212.51.207.69

ns1.best.p.lodz.pl

212.51.208.163/32

tower.phys.p.lodz.pl

212.51.209.34/32

zak.p.lodz.pl

212.51.209.177/32

pc-212-51-211-200.p.lodz.pl

212.51.211.200/32

piatka.p.lodz.pl

212.51.213.194/32

smtp.dmcs.p.lodz.pl

212.51.218.231/32

dns.dmcs.p.lodz.pl

212.51.218.240/32

zsko.zsk.p.lodz.pl

212.51.220.12/32

ns1.ics.p.lodz.pl

212.51.220.226/32

ns2.ics.p.lodz.pl

212.51.220.227/32

server.zao.p.lodz.pl

212.51.222.190/32

kraken.wee.p.lodz.pl

212.191.76.162/32

trojka.p.lodz.pl

212.191.78.50/32

pc-212-191-78-132.p.lodz.pl

212.191.78.132/32

gerald.szostka.p.lodz.pl

212.191.78.146/32

czworka.p.lodz.pl

212.191.78.193/32

pc-212-191-79-98.p.lodz.pl

212.191.79.98/32

pc-212-191-79-162.p.lodz.pl

212.191.79.162/32

dns1.ipos.p.lodz.pl

212.191.88.50/32

zly.iis.p.lodz.pl

212.191.89.2/32

lud-rekrutacja.p.lodz.pl

212.191.91.35/32

pc-212-191-92-120.p.lodz.pl

212.191.92.120/32

 

Podana lista serwerów jest otwarta i będzie można dopisać do niej kolejne serwery DNS, które, oprócz zaleceń technicznych wskazanych na wstępie, spełniają następujące warunki organizacyjne:

  • serwer obsługuje subdomenę jednej z domen zarejestrowanych przez PŁ („p.lodz.pl”, „politechnika.lodz.pl”, „tul.edu.pl”) lub obsługują inną domenę, która została wcześniej zgłoszona do Centrum Komputerowego, a jeśli nie to należy taką domenę zgłosić,

  • adres IP serwera DNS został zgłoszony do Centrum Komputerowego, jako adres na którym będzie świadczona usługa DNS,

  • przełożony jednostki organizacyjnej, do sieci której zostanie przyłączony serwera DNS, wyznaczy administratora serwera i zgłosi go do Centrum Komputerowego.

 

Serwery DNS zainstalowane w jednostkach organizacyjnych PŁ, które wymagają dostępności 53/UDP spoza USK prosimy zgłaszać w wybrany sposób:

  • za pośrednictwem e-mail na adres bok@p.lodz.pl; w tym przypadku zgłoszenie powinno być wykonane z adresu źródłowego XXX@adm.p.lodz.pl, gdzie XXX jest symbolem jednostki organizacyjnej PŁ,

  • listownie za pośrednictwem poczty wewnętrznej PŁ; w tym przypadku pismo powinno być podpisane przez kierownika danej jednostki organizacyjnej.

 

Zgłoszenie powinno zawierać:

  • nazwę domeny lub domen, które obsługuje zgłaszany serwer,

  • adres IP serwera,

  • imię i nazwisko, email oraz dokładne miejsce zatrudnienia administratora serwera (w przypadku gdy administratorem jest pracownik PŁ to należy wskazać jednostkę organizacyjną, w której jest zatrudniony, a w przypadku osoby zewnętrznej – firmę pod jaką wykonuje zadania związane z administracją).