Login
Newsletter
Werbung

Mo, 25. August 2003, 00:00

Den Nameserver BIND sicherer machen

Binden nur an die nötigen Netzwerk-Interfaces

Standardmäßig bindet BIND an alle vorhandenen Netzwerk-Interfaces. Dies können Sie mit einem Eintrag in /home/dns/etc/named.conf einschränken:

options {
 ...
 listen-on {
 192.168.1.1;
 192.168.2.1;
 }
 ...
};

Die Adressen sind natürlich nur Beispiele. Wenn Sie irgendwo den Eintrag 127.0.0.1 als DNS-Server haben, sollten Sie auch 127.0.0.1 zu der Liste hinzufügen - ich sehe allerdings wenig Sinn in solch einer Konfiguration. Wenn Sie DNS nur für das Intranet verwenden, dann sollte das Netzwerk-Interface, das zum Internet führt, nicht in der Liste enthalten sein.

Paketfilter

Paketfilter können unerwünschte Zugriffe auf den DNS-Server verhindern. Wie diese aussehen sollten, ist aber stark von der individuellen Netzwerk-Topologie und der Plazierung des DNS-Servers abhängig. Wenn Sie DNS nur für das Intranet verwenden, dann sollte er von außen nicht erreichbar sein. Man würde in diesem Fall also alle auf Port 53 ankommenden UDP-Pakete verwerfen. Zone Transfers sollten auch unterbunden werden. Das bedeutet, sämtliche TCP-Pakete von oder nach Port 53 zu verwerfen.

Soll der DNS-Server dagegen aus dem Internet erreichbar sein, kann man mit Paketfiltern wenig machen. Es empfiehlt sich dann, für Intranet und die nach außen sichtbaren Rechner separate DNS-Server aufzusetzen. Doch dies führt hier zu weit, das ist Stoff für ein Firewall-Lehrbuch.

Wie man die Paketfilter einrichtet, können Sie in unseren Artikeln für Kernel 2.2.x und Kernel 2.4.x nachlesen.

Sonstiges

Wer BIND in einem lokalen Netz benutzt, das über eine Wählleitung ans Internet angeschlossen ist, und keine Flatrate besitzt, den könnten die beiden folgenden Optionen interessieren, die unter options in /home/dns/etc/named.conf eingetragen werden. Allerdings ist mir auch nicht ganz klar, ob sie einen merklichen Effekt haben. Diese Optionen haben jedenfalls nichts mit Sicherheit zu tun, sondern sollen nur unerwünschte Verbindungs-Anforderungen unterdrücken.

dialup yes; reduziert die Aktivitäten bei Zone Transfers.

notify no; sendet keine NOTIFY-Nachrichten bei Konfigurationsänderungen.

Quellen

ISC
Die Homepage von BIND beim Internet Software Consortium. Hier gibt es Patches, Changelogs und Mailinglisten, auch die Listenarchive sind zugänglich.
Industrial Linux
Kurzanleitung zum Absichern von BIND. Hierher stammt die Idee zu dem Artikel. Auch der Rest der Seite ist sehr lesenswert.
Firewall unter Linux
Diese Artikelfolge beschreibt den Aufbau eines Paketfilters mit Kernel 2.2.
Firewall selbst entwickeln
Dieser Artikel beschreibt den Aufbau eines Paketfilters mit Kernel 2.4.
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung