🛡️ Nova Ferramenta Gratuita: Sentinel DNS Audit & Compliance Tool · DevairFernandes

Fala pessoal! 👋

Queria compartilhar com a comunidade uma ferramenta que acabamos de lançar no Sentinel DNS (nosso projeto focado em segurança e compliance para provedores e datacenters).

É comum vermos servidores DNS recursivos rodando de forma insegura (abertos para a internet) ou sem validação básica, o que acaba gerando riscos de ataques (DDoS amplification) ou problemas com a justiça (falta de compliance com bloqueios judiciais).

Pensando nisso, desenvolvemos a Auditoria DNS, uma ferramenta direto do nosso Master HQ que faz um check-up instantâneo no seu IP.

🛠️ O que a ferramenta testa?
O sistema dispara pacotes UDP nativos na porta 53 para o IP que você informar e avalia 4 pilares críticos:

⚡ Performance & Latência: Mede o tempo exato de resposta da sua resolução.
🛡️ Segurança (Open Resolver): Testa se o servidor responde a redes externas. Um servidor DNS aberto na internet é uma arma carregada para ataques de amplificação DDoS. (Nota: Se você testar contra um IP de rede local como 192.168.x.x, o sistema é inteligente e entende que a resposta é esperada).
🔒 Validação DNSSEC: Disparamos contra um domínio corrompido (dnssec-failed.org). Se o seu DNS resolver, ele falha. Ele deve retornar SERVFAIL para proteger contra sequestro de tráfego (Cache Poisoning).
⚖️ Compliance (AnaBlock/Bloqueios Judiciais): Como atuamos muito com provedores no Brasil, testamos um domínio de aposta proibido pela Anatel (00001bet.bet). O seu servidor precisa retornar NXDOMAIN (ou IP de sinkhole) para estar 100% compliant e evitar multas.
No final, a ferramenta gera um "Boletim" com uma nota de A+ (Totalmente Seguro) até F (Crítico).

🚀 Por que criamos isso?
A ideia é trazer transparência. Muito provedor acha que só instalar o Unbound ou Bind9 com config padrão está ótimo, mas esquece do DNSSEC ou deixa a porta 53 exposta no firewall de borda.

A ferramenta é super útil para:

Provedores (ISPs): Provar para a Anatel/Justiça que os bloqueios estão ativos.
Sysadmins: Garantir que o servidor não é um Open Resolver.
Vendas/Comercial: Usamos também para auditar concorrentes e mostrar para clientes em potencial onde a infra deles está vulnerável.
🔗 Quer testar o seu DNS?
A ferramenta ainda está em beta fechado no nosso Master HQ, então no momento os testes estão sendo feitos apenas sob solicitação.

Se você for dono de provedor ou sysadmin e quiser que a gente rode o diagnóstico no IP público do seu servidor recursivo (para ver a sua nota real de compliance), me manda uma DM ou comenta o IP aqui no post que eu rodo a auditoria e te mando o print/relatório na hora!

Isso ajuda a gente a validar a ferramenta com cenários reais e ajuda você a descobrir se o seu DNS está vazando consultas ou exposto a multas.

Qualquer feedback arquitetural ou ideias de mais testes que poderíamos incluir (ex: validação de qname-minimisation), comentem aí!

Stack técnica da tool: Node.js (dgram nativo para sockets UDP puros contornando o cache do SO) + Vanilla CSS no Frontend.