BIND DNS beveiligen: versie verbergen en ongeautoriseerde zone transfers voorkomen

Het beveiligen van een BIND DNS-server is een belangrijk onderdeel van DNS security. Twee cruciale maatregelen zijn het verbergen van de BIND-versie en het beperken van ongeautoriseerde zone transfers. Deze stappen verkleinen het aanvalsoppervlak van je DNS-infrastructuur aanzienlijk.


BIND versie verbergen (DNS software hardening)

Het zichtbaar maken van de BIND-versie kan een beveiligingsrisico vormen. Aanvallers kunnen deze informatie gebruiken om gerichte aanvallen uit te voeren op bekende kwetsbaarheden.

Meer informatie over het verbergen van de DNS softwareversie vind je hier:
Verberg DNS software versie

Door de versie-informatie af te schermen, verbeter je direct de basisbeveiliging van je DNS-server.


Ongeautoriseerde zone transfers voorkomen (AXFR beveiliging)

Een van de belangrijkste onderdelen van BIND DNS beveiliging is het beperken van zone transfers (AXFR/IXFR). Zonder restricties kunnen externe partijen alle DNS-records van een domein opvragen.

Waarom zone transfers beveiligen belangrijk is

Onbeperkte zone transfers kunnen leiden tot:

  • Volledige openbaarmaking van DNS-records
  • Inzicht in interne netwerkstructuren
  • Identificatie van servers, maildiensten en subdomeinen
  • Vergemakkelijking van gerichte aanvallen

Meer achtergrond over DNS beveiliging en risico’s lees je hier:
DNS


Zone transfers beperken met allow-transfer in BIND

BIND biedt de mogelijkheid om zone transfers te beperken met de instelling allow-transfer. Hiermee bepaal je precies welke servers toegang hebben tot zone data.

Master DNS server configuratie

Open het configuratiebestand:

vi /etc/named.conf

Voeg vervolgens een ACL toe en configureer de opties:

acl "internal" {
    123.45.67.89;
};

options {
    ...
    notify yes;
    allow-update { none; };
    allow-query { any; };
    allow-transfer { internal; };
    allow-recursion { none; };
    recursion no;
};

Alleen servers binnen de ACL “internal” mogen zone transfers uitvoeren.


Slave DNS server configuratie

Op een slave DNS-server beperk je zone transfers volledig naar buiten:

options {
    ...
    notify no;
    allow-query { any; };
    allow-transfer { none; };
    allow-recursion { none; };
    recursion no;
};

Dit voorkomt dat de server zelf DNS-zones doorgeeft aan onbevoegde systemen.


Extra BIND DNS beveiligingstips

Voor een nog veiligere DNS-omgeving kun je de volgende maatregelen toepassen:

  • Schakel recursie uit op publieke servers (recursion no)
  • Gebruik ACL’s voor toegangscontrole
  • Beperk zone transfers tot specifieke IP-adressen of TSIG keys
  • Houd BIND up-to-date
  • Monitor DNS logs actief op verdachte AXFR-verzoeken

Meer technische artikelen over DNS en Linux security:
Linux


Conclusie

Het beveiligen van BIND draait om het minimaliseren van informatielekken en het beperken van toegang. Door de BIND-versie te verbergen en zone transfers streng te controleren met allow-transfer, maak je je DNS-omgeving aanzienlijk veiliger tegen misbruik.

Add a Comment

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *