1. Publicaciones
  2. Seguridad Básica Servicio DNS [Debian]

Seguridad Básica Servicio DNS [Debian]

Fecha de publicación: Vie, 27/04/2018 - 17:35

El presente documento permite mejorar la seguridad del servicio DNS de los servidores Debian en pocos pasos.

Para ello Nos dirigirnos al archivo named.conf.local

allow-transfer

Especifica los servidores esclavos autorizados para solicitar una transferencia de información de la zona. Por defecto, todas las solicitudes se autorizan. valores como “any;” “none;” “nombre-acl” “IPv4;” son aceptados

Ejemplo:

zone “institucion.gob.bo ” { 

type master;

file “institucion.gob.bo.zone”;

allow-transfer {172.16.90.10; 127.0.0.1;};

};

Nota 1: Reemplace 172.16.90.10 con la dirección ip del o los servidores de confianza o segmento de red como por ejemplo: 172.16.90.0/24.

allow-query

Especifica los clientes autorizados para solicitar información sobre una zona. Por defecto, todas las solicitudes de información son autorizadas. valores como “any;” “none;” “nombre-acl” “IPv4;” son aceptados

Ejemplo:

zone “institucion.gob.bo ” {

type master;

file “institucion.gob.bo.zone”;

allow-query {172.16.90.10; 127.0.0.1;};

};

Nota 1: Reemplace 172.16.90.10 con la dirección ip del o los servidores de confianza o segmento de red como por ejemplo: 172.16.90.0/24.

notify.

Permite notificar cambios de configuración (actualizaciones) de zona a los servidores esclavos. Para ello solo se aceptan tres parámetros:

yes: Notifica a los servidores esclavos.

no: No notifica a los servidores esclavos.

Explicit: Notifica a los servidores esclavos definidos en una lista also-notify dentro de la declaración de una zona.

Ejemplo:

zone “institucion.gob.bo ” {

type master;

file “institucion.gob.bo.zone”;

notify yes;

also-notify {172.16.90.10;};

};

Nota 1: Reemplace 172.16.90.10 con la dirección ip del o los servidores de confianza o segmento de red como por ejemplo: 172.16.90.0/24.

Otras Recomendaciones de Seguridad para el servicio DNS

- Cambie los permisos y la propiedad en los destinos a continuación

chown -R root:bind /etc/bind 
chown root:bind /etc/bind/named.conf* 
chmod 640 /etc/bind/named.conf*

- Editar usando VI, el archivo /etc/bind/named.conf.options y agregue las siguientes configuraciones en la sección "Options":Agregar la siguiente línea para reemplazar el banner de la versión DNS: 

version "Secured DNS server";

Nota: para probar, ejecute el siguiente comando: 
dig +short @localhost version.bind chaos txt

- Agregar la línea siguiente para restringir consultas recursivas a clientes de confianza: 

allow-recursion { localhost; 192.168.0.0/24; };

Nota 1: Reemplace 192.168.0.0/24 con los segmentos internos confiables y la máscara de subred. 
 

- Agregue la siguiente línea al ID del servidor de nombres: 

server-id none;.

- Agregue la línea siguiente para restringir que el servidor DNS escuche interfaces específicas: 

listen-on port 53 { 127.0.0.1; 192.168.1.1; };