DNS Protection no named.conf

1

cat /etc/named.conf

[...]
acl "trusted" {
IPS HERE
};

options {
allow-recursion { trusted; };
allow-notify { trusted; };
allow-transfer { trusted; };
allow-query { trusted; };
directory "/var/named";
dump-file "/var/named/named_cache_dump.db";
statistics-file "/var/named/named_stats.log";
empty-zones-enable no;
};
[...]

Eu vi o seguinte e queria saber quais IPs eu preciso colocar na lista de permissões? Estou adicionando os servidores de nomes de raiz?

Eu quero saber como me proteger de ataques DNS como transferências / recursão / envenenamento ilegais.

    
por Tiffany Walker 07.02.2013 / 21:27

1 resposta

3

Você realmente precisa de duas ACLs para lidar com isso corretamente. Um para servidores de nome de mesmo nível e um para clientes.

acl "nameservers" {
    # A list of all the name servers that this server has transfers or receices zones from
    # should basically be all the masters/slave name servers, for all defines zones
};

acl "internalclients" {
    # all your internal networks/client machines that can use this name server for resolution.
    127.0.0.0/8;
    10.0.0.0/8;
    172.16.0.0/12;
    192.168.0.0/16;
};

options {
    allow-notify { nameservers; };
    allow-transfer { nameservers; };
    allow-recursion { internalclients; };
    allow-query { internalclients; };
};

zone "example.org" {
    allow-query {any;};
    allow-transfer { nameservers; };
};

Para o melhor nível de proteção contra envenenamento, você não deveria estar servindo zonas dos mesmos servidores DNS que você está usando para resolução de clientes. Mas se você confia em seus clientes internos, então acredito que uma configuração como essa é adequada.

    
por 07.02.2013 / 21:39