Beveiligen van BIND

Veranderen van BIND versie

Zie post: https://blog.markterweele.nl/2016/10/30/verberg-dns-software-versie/

Ongeautoriseerde zoneoverdrachten

Ongeautoriseerde zoneoverdrachten voorkomen Misschien nog wel belangrijker dan te controleren wie uw naamserver kan ondervragen, is ervoor te zorgen dat alleen uw echte slave naamservers zones van uw naamserver kunnen overdragen. Gebruikers op externe hosts die de zonegegevens van uw naamserver kunnen opvragen, kunnen alleen records (bijv. adressen) opzoeken voor domeinnamen die ze al kennen, één voor één. Gebruikers die zoneoverdrachten vanaf uw server kunnen starten, kunnen alle records in uw zones weergeven.

Met de substatement allow-transfer van BIND en de xfrnets-richtlijn van 4.9 kunnen beheerders een toegangscontrolelijst toepassen op zoneoverdrachten. allow-transfer beperkt overdrachten van een bepaalde zone wanneer gebruikt als een substatement voor zones, en beperkt alle zoneoverdrachten wanneer het wordt gebruikt als substatement voor opties.

Open named.conf:

# vi /etc/named.conf

Voeg de onderstaande toe binnen options (Master DNS server):

acl "internal" {
	123.45.67.89;
};

options {
.....
	notify yes;
	allow-update { none; };
	allow-query { any; };
	allow-transfer { internal; };
	allow-recursion { none; }; 
	recursion no;
};

Voeg de onderstaande toe binnen options (Slave DNS server):

options {
.....
	notify no;
	allow-query { any; };
	allow-transfer { none; };
	allow-recursion { none; }; 
	recursion no;
};