Como restringir as transferências de zona apenas para servidores autorizados específicos

1

Recentemente, falhei com uma verificação de conformidade com PCI devido ao seguinte:

This DNS server allows unrestricted zone transfers. Attackers may be able to use this information to gain knowledge on the structure of your networks to aid in device discovery prior to an actual attack.

E a solução sugerida é a seguinte:

Reconfigure this DNS server to restrict zone transfers to specific authorized servers only.

Estou executando um servidor Linux Centos dedicado.

Meu entendimento é que eu tenho que editar o arquivo /etc/named.conf, o que eu fiz e a parte relevante é a seguinte:

options {
    acl "trusted" {
        127.0.0.1; 
            xxx.xxx.xxx.001; //this is one of the server's ip's
            xxx.xxx.xxx.002; //this is another server's ip
    };

    allow-recursion { 
        trusted;
    };
    allow-notify { 
        trusted;
    };
    allow-transfer { 
        trusted;
    };
};

Eu reiniciei o serviço chamado /etc/rc.d/init.d/named restart e solicitei uma nova varredura, que falhou novamente pelo mesmo motivo.

Estou sentindo falta de algo óbvio aqui?

    
por JonoB 27.11.2011 / 00:43

1 resposta

3

Verifique o resto do seu arquivo de configuração (que você não postou aqui) para ter certeza de que a transferência de permissão não está sendo sobrescrita pela configuração de zona em questão.

    
por 27.11.2011 / 00:49