Saugus DNS serviso konfigūravimas

 in Dokumentai  tagged old by

DNS – tai sistema, naudojama kompiuterių simbolinius vardus (pvz. cert.litnet.lt) versti į IP adresą. Organizacijos diegia savo tinkluose DNS serverius tam, kad vietinio tinklo kompiuteriai galėtų greičiau gauti DNS atsakymus (kešuojantys serveriai) arba savo vardų zonai valdyti. Jei DNS serveris neturi informacijos apie užklausiamą vardą, jis atlieka rekursinę vardo paiešką kituose DNS serveriuose ir klientui grąžina surastą IP adresą.

 

Tam, kad nebūtų piktnaudžiaujama vietiniu DNS serveriu, būtina nustatyti apribojimus – nurodyti, kuriems klientams (IP adresams, tinklams) galima atlikti užklausas. Jei DNS serverio konfigūracija palikta per daug atvira, serveris gali būti įtrauktas į įvairius piktybinius veiksmus, pvz., serveris gali būti panaudotas DoS atakoms atlikti.

 

DNS serverių apsaugojimui būtina apibrėžti IP adresus, kurie gali siųsti rekursines užklausas, bei IP adresus, kuriems leidžiama atlikti zonų persiuntima (patikimi DNS serveriai). BIND serverio konfigūracija:

 

// Adresai, kuriems leista naudotis DNS serverio resursais.
// Šie kompiuteriai gali užklausti apie zonas, 
// kurių serveris neaptarnauja.
acl "trusted" {
         localhost;
         192.168.0.0/16;
};

// Antrinių DNS serveriu adresai, kuriems leista parsisiųsti 
// pilną aptarnaujamų zonų informaciją.
acl "transfer-trusted" {
         193.219.32.13;
};
         
options {
         directory "/etc/bind";
         
         auth-nxdomain no; # conform to RFC1035

         // Leidžiame atlikti zonos persiutimus
         allow-transfer { transfer-trusted; };
         // Savo tinklui galima atlikti rekursines užklausas
         allow-recursion { trusted; };
         // Savo tinklui leisti užklausas
         allow-query { trusted; };
};
         
zone "." in {
         type hint;
         file "db.root";
};
         
zone "localhost" IN {
         type master;
         file "db.local";
         allow-update { none; };
};
         
zone "0.0.127.in-addr.arpa" IN {
         type master;
         file "db.127";
         allow-update { none; };
};

// Serveris aptarnauja zoną "example.lt"  
zone "example.lt" in {
         type master;
         file "db.example.lt";
         // užklausas apie example.lt leisti iš 
         // bet kurio kompiuterio
         allow-query { any; };
};

 

Saugiai DNS serverio konfigūracijai sudaryti galite panaudoti šabloną:
http://www.cymru.com/Documents/secure-bind-template.html

 

 

Kilus klausimams rašykite adresu