Login
Newsletter
Werbung
Mo, 25. August 2003, 00:00
Tipps::Netzwerk
Workshops::Server

Den Nameserver BIND sicherer machen

Binden nur an die nötigen Netzwerk-Interfaces

Standardmäßig bindet BIND an alle vorhandenen Netzwerk-Interfaces. Dies können Sie mit einem Eintrag in /home/dns/etc/named.conf einschränken:

options {
 ...
 listen-on {
 192.168.1.1;
 192.168.2.1;
 }
 ...
};

Die Adressen sind natürlich nur Beispiele. Wenn Sie irgendwo den Eintrag 127.0.0.1 als DNS-Server haben, sollten Sie auch 127.0.0.1 zu der Liste hinzufügen - ich sehe allerdings wenig Sinn in solch einer Konfiguration. Wenn Sie DNS nur für das Intranet verwenden, dann sollte das Netzwerk-Interface, das zum Internet führt, nicht in der Liste enthalten sein.

Paketfilter

Paketfilter können unerwünschte Zugriffe auf den DNS-Server verhindern. Wie diese aussehen sollten, ist aber stark von der individuellen Netzwerk-Topologie und der Plazierung des DNS-Servers abhängig. Wenn Sie DNS nur für das Intranet verwenden, dann sollte er von außen nicht erreichbar sein. Man würde in diesem Fall also alle auf Port 53 ankommenden UDP-Pakete verwerfen. Zone Transfers sollten auch unterbunden werden. Das bedeutet, sämtliche TCP-Pakete von oder nach Port 53 zu verwerfen.

Soll der DNS-Server dagegen aus dem Internet erreichbar sein, kann man mit Paketfiltern wenig machen. Es empfiehlt sich dann, für Intranet und die nach außen sichtbaren Rechner separate DNS-Server aufzusetzen. Doch dies führt hier zu weit, das ist Stoff für ein Firewall-Lehrbuch.

Wie man die Paketfilter einrichtet, können Sie in unseren Artikeln für Kernel 2.2.x und Kernel 2.4.x nachlesen.

Sonstiges

Wer BIND in einem lokalen Netz benutzt, das über eine Wählleitung ans Internet angeschlossen ist, und keine Flatrate besitzt, den könnten die beiden folgenden Optionen interessieren, die unter options in /home/dns/etc/named.conf eingetragen werden. Allerdings ist mir auch nicht ganz klar, ob sie einen merklichen Effekt haben. Diese Optionen haben jedenfalls nichts mit Sicherheit zu tun, sondern sollen nur unerwünschte Verbindungs-Anforderungen unterdrücken.

dialup yes; reduziert die Aktivitäten bei Zone Transfers.

notify no; sendet keine NOTIFY-Nachrichten bei Konfigurationsänderungen.

Quellen

ISC
Die Homepage von BIND beim Internet Software Consortium. Hier gibt es Patches, Changelogs und Mailinglisten, auch die Listenarchive sind zugänglich.
Industrial Linux
Kurzanleitung zum Absichern von BIND. Hierher stammt die Idee zu dem Artikel. Auch der Rest der Seite ist sehr lesenswert.
Firewall unter Linux
Diese Artikelfolge beschreibt den Aufbau eines Paketfilters mit Kernel 2.2.
Firewall selbst entwickeln
Dieser Artikel beschreibt den Aufbau eines Paketfilters mit Kernel 2.4.
Vorherige 1 2
In diesem Artikel:
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten

141
Mach­t's gut!

51
Neue Raspber­ry Pi-Va­ri­an­te mit 8 GB RAM

0
Genode 20.05 frei­ge­ge­ben

9
Sub­ver­si­on 1.14.0-LTS vor­ge­stellt

0
»Hum­ble Ci­ties: Sky­lines Bund­le« vor­ge­stellt

0
End of Life für Co­reOS Con­tai­ner Linux ver­kün­det

32
Elek­tra 0.9.2 er­schie­nen

8
Nex­tDNS ver­lässt die Be­ta-Pha­se

23
Tu­xe­do stellt Ga­mer-Note­book vor

0
Libre Gra­phics Mee­ting be­ginnt als On­li­ne-Va­ri­an­te
 
Werbung