DNS softwareversie verbergen (BIND en PowerDNS)
Wanneer je een eigen DNS-server beheert, is het verstandig om zo min mogelijk technische details openbaar te maken. Standaard kan de DNS-softwareversie zichtbaar zijn, wat een potentieel beveiligingsrisico vormt. Aanvallers gebruiken vaak geautomatiseerde scans om systemen te vinden die verouderde of kwetsbare software draaien.
Zelfs als je als systeembeheerder updates goed bijhoudt, kan het gebeuren dat een patch nog niet is doorgevoerd of dat een nieuwe versie nog niet in productie staat. Door de DNS softwareversie te verbergen verklein je de kans op gerichte aanvallen.
In deze handleiding lees je hoe je de DNS-versie kunt verbergen in de twee meest gebruikte DNS-oplossingen: BIND en PowerDNS.
Waarom de DNS softwareversie verbergen?
Het tonen van de DNS softwareversie kan aanvallers waardevolle informatie geven, zoals:
- Welke DNS-software je gebruikt (bijvoorbeeld BIND of PowerDNS)
- Mogelijk bekende kwetsbaarheden in specifieke versies
- Inzicht in je systeemconfiguratie
Door deze informatie af te schermen maak je het voor kwaadwillenden lastiger om gerichte aanvallen uit te voeren.
DNS softwareversie verbergen in BIND
Bij BIND kun je de versie-informatie aanpassen in de configuratie.
Stap 1: Configuratiebestand openen
Open het volgende bestand:
/etc/named.conf
Stap 2: Versie verbergen instellen
Voeg binnen het options-blok de volgende regel toe:
options {
version "Unknown";
};
Stap 3: DNS service herstarten
Herstart de BIND-service om de wijziging door te voeren:
service named restart
Stap 4: Controle uitvoeren
Controleer of de versie niet meer zichtbaar is met het DIG-commando:
dig +short @ns1.jouwdomein.nl version.bind txt chaos
DNS softwareversie verbergen in PowerDNS
Ook in PowerDNS kun je de versie-informatie eenvoudig verbergen.
Stap 1: Configuratiebestand openen
Open het configuratiebestand:
/etc/pdns/pdns.conf
Stap 2: Versie-informatie aanpassen
Zet de volgende optie:
version-string=anonymous
Stap 3: PowerDNS herstarten
Herstart vervolgens de service:
systemctl restart pdns
Stap 4: Controle uitvoeren
Controleer opnieuw met DIG of de versie verborgen is:
dig +short @ns1.jouwdomein.nl version.bind txt chaos
Conclusie
Het verbergen van de DNS softwareversie in BIND en PowerDNS is een eenvoudige maar effectieve beveiligingsmaatregel. Door deze informatie af te schermen verklein je de zichtbaarheid van je infrastructuur en beperk je het risico op gerichte aanvallen.