Den Nameserver BIND sicherer machen
Binden nur an die nötigen Netzwerk-Interfaces
Standardmäßig bindet BIND an alle vorhandenen Netzwerk-Interfaces. Dies können Sie mit einem Eintrag in /home/dns/etc/named.conf einschränken:
options { ... listen-on { 192.168.1.1; 192.168.2.1; } ... };
Die Adressen sind natürlich nur Beispiele. Wenn Sie irgendwo den Eintrag 127.0.0.1 als DNS-Server haben, sollten Sie auch 127.0.0.1 zu der Liste hinzufügen - ich sehe allerdings wenig Sinn in solch einer Konfiguration. Wenn Sie DNS nur für das Intranet verwenden, dann sollte das Netzwerk-Interface, das zum Internet führt, nicht in der Liste enthalten sein.
Paketfilter
Paketfilter können unerwünschte Zugriffe auf den DNS-Server verhindern. Wie diese aussehen sollten, ist aber stark von der individuellen Netzwerk-Topologie und der Plazierung des DNS-Servers abhängig. Wenn Sie DNS nur für das Intranet verwenden, dann sollte er von außen nicht erreichbar sein. Man würde in diesem Fall also alle auf Port 53 ankommenden UDP-Pakete verwerfen. Zone Transfers sollten auch unterbunden werden. Das bedeutet, sämtliche TCP-Pakete von oder nach Port 53 zu verwerfen.
Soll der DNS-Server dagegen aus dem Internet erreichbar sein, kann man mit Paketfiltern wenig machen. Es empfiehlt sich dann, für Intranet und die nach außen sichtbaren Rechner separate DNS-Server aufzusetzen. Doch dies führt hier zu weit, das ist Stoff für ein Firewall-Lehrbuch.
Wie man die Paketfilter einrichtet, können Sie in unseren Artikeln für Kernel 2.2.x und Kernel 2.4.x nachlesen.
Sonstiges
Wer BIND in einem lokalen Netz benutzt, das über eine Wählleitung ans Internet angeschlossen ist, und keine Flatrate besitzt, den könnten die beiden folgenden Optionen interessieren, die unter
in /home/dns/etc/named.conf eingetragen werden. Allerdings ist mir auch nicht ganz klar, ob sie einen merklichen Effekt haben. Diese Optionen haben jedenfalls nichts mit Sicherheit zu tun, sondern sollen nur unerwünschte Verbindungs-Anforderungen unterdrücken.dialup yes;
reduziert die Aktivitäten bei Zone Transfers.
notify no;
sendet keine NOTIFY-Nachrichten bei Konfigurationsänderungen.
Quellen
- ISC
- Die Homepage von BIND beim Internet Software Consortium. Hier gibt es Patches, Changelogs und Mailinglisten, auch die Listenarchive sind zugänglich.
- Industrial Linux
- Kurzanleitung zum Absichern von BIND. Hierher stammt die Idee zu dem Artikel. Auch der Rest der Seite ist sehr lesenswert.
- Firewall unter Linux
- Diese Artikelfolge beschreibt den Aufbau eines Paketfilters mit Kernel 2.2.
- Firewall selbst entwickeln
- Dieser Artikel beschreibt den Aufbau eines Paketfilters mit Kernel 2.4.