BIND – Podstawy Bezpieczeństwa

Usługi Zostaw komentarz

BIND – Podstawy Bezpieczeństwa

BIND (Berkeley Internet Name Domain, poprzednio: Berkeley Internet Name Daemon) jest popularnym serwerem (demonem) DNS. Został on stworzony przez Paula Vixie w roku 1988 podczas jego pracy w DEC. BIND jest jednym z najpopularniejszych serwerów DNS wykorzystywanym w systemach Linux i Unix. BIND stanowi niezmiernie ważny składnik zapewniający poprawne działanie sytemu nazw w Internecie. Wielu użytkowników globalnej sieci bezwiednie korzysta z serwera BIND, kiedy ich przeglądarka WWW odpytuje go o adres IP komputera udostępniającego interesującą ich stronę.

Skanując sieć internetową można bardzo szybko zauważyć, iż znakomita większość serwerów DNS jest po prostu zainstalowana i skonfigurowana do obsługi jakieś domeny lub domen.
Zadając tym serwerom pytanie o dowolna domenę zaraz nam odpowie, czyli pełne open for all, zwykle nawet pozwalają na transfer całej swojej strefy. Chyba nie muszę tłumaczyć iż to nie jest najbezpieczniejszy pomysł, nasz serwer powinien:

Każdemu odpowiedzieć na pytanie TYLKO o obsługiwane przez siebie domeny,
pozwolić transferować swoje domeny TYLKO swoim serwerom podrzędnym,
odpowiadać na każde zapytanie TYLKO obsługiwanym przez siebie siecią. (klientom)

Teraz opiszę jak osiągnąć to w Bind v8.
całość polega na edycji pliku /etc/bind/named.conf (Debian GNU/Linux)

Określamy kto może nas pytać o dowolną domenę:

acl „swoi” { 127.0.0.1/8; 192.168.0.0/24; };
options {
directory „/var/cache/bind”;
allow-query {„swoi”;};
};

Teraz określimy, kto może transferować naszą domenę oraz kto może pytać o naszą domenę:

zone „antynet.pl” {
type master;
file „/etc/bind/antynet.pl”;
notify yes;
allow-transfer { ip_sec_dns1; ip_sec_dns2; };
allow-query { 0.0.0.0/0;};
};

allow-transfer są to serwery które mogą transferować od nas strefę antynet.pl, w celu jej dalszego rozgłaszania.

allow-query określa kto może pytać o naszą domenę. Oczywiście że wszyscy, tak więc wpisujemy 0.0.0.0/0

Tych kilka prostych zabiegów znacznie poprawi stopień bezpieczeństwa naszego serwera DNS.
Teraz śledzimy logi i patrzymy ile dziwnych sieci stara się o uzyskanie odpowiedzi z naszego serwera. Ciekawe w jakim celu? :>

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

Potrzebujesz pomocy w BIND – Podstawy Bezpieczeństwa ? skontaktuj się z administratorem sieci oraz serwerów.
WordPress - Hosting: Twój hosting - Skórka: N.Design Studio - Spolszczenie: Adam Klimowski.
RSS wpisów RSS komentarzy Zaloguj się