segurança no named

[rootmaster]

como posso implementar segurança no meu dns,
uso bind

falow...

[gatoseco]

bind+chroot

[rootmaster]

valew,

então o meu já está seguro....

uso o bind no cenário chroot

valew ....

[mistymst]

depende, que nivel de seguranca voce quer? voce permite dynamic updates? o bind com chroot eh uma boa mas nao eh soh isso nao.

por exemplo? voce permite recursao a qualquer um? zone transfers? voce oculta a versao do bind? dentre outras perguntas... tudo dependendo do que voce acredita como "seguranca".

Se estiver citando apenas o ponto de alguem usar alguma vulnerabilidade (atualmente inexistente a publico) para entrar na maquina ele cairia na 'jail' e nao tera acesso ao resto do sistema, isso garante a seguranca da maquina se um servidor for comprometido mas a nao a seguranca do bind? entendeu a diferenca?

Espero que exponha melhor seu cenario de duvidas.

[romeudu]

Outra coisa q vc tem q prestar atenção é onde o seu bind esta escutando se é em todas as interfaces ou somentes nas necessarias!!..
com o listen on!!!.
flw
T+

[Michael]

Pessoal aproveitando o gancho sobre o bind, estou com um problema de segurança no meu e gostaria de saber como resolver... O que acontece é que meu DNS resolve pra qualquer host externo da Internet, ou seja o cara de inferno coloca meu dns 200.xxx.xxx.xxx e consegue navegar blza... ja tentei fazer um bloqueio da porta 53 na eth1 ( Link ) mas não adiantou, pois tbm ficou bloqueado para navegação dos hosts internos, como proceder de forma correta??
ops: ops: ops:

[edmafer]

Pessoal aproveitando o gancho sobre o bind, estou com um problema de segurança no meu e gostaria de saber como resolver... O que acontece é que meu DNS resolve pra qualquer host externo da Internet, ou seja o cara de inferno coloca meu dns 200.xxx.xxx.xxx e consegue navegar blza... ja tentei fazer um bloqueio da porta 53 na eth1 ( Link ) mas não adiantou, pois tbm ficou bloqueado para navegação dos hosts internos, como proceder de forma correta??
ops: ops: ops:

Supondo que suas regras padrões são DROP

Código :

iptables -A INPUT -s faixa_ip_rede_interna -p udp --dport 53 -j ACCEPT

Assim vc aceita conexões na porta 53 somente daquilo que vem dos hosts da sua rede.

[mistymst]

configure o allow-recursion, como por exemplo:


no options {} (ou na zona se for mais "especifico")


allow-recursion {
10.0.0.0/8;
};

que ai somente quem voce quer vai poder usar seu dns para resolver nomes, e o allow-query vai permitir o query ao seu dns server (para as zonas que voce é dono)

[Michael]

configure o allow-recursion, como por exemplo:


no options {} (ou na zona se for mais "especifico")


allow-recursion {
10.0.0.0/8;
};

que ai somente quem voce quer vai poder usar seu dns para resolver nomes, e o allow-query vai permitir o query ao seu dns server (para as zonas que voce é dono)

mistymst
To tenso com isso ainda não deu certo, adicionei essas linhas ao meu named mas de nada adiantou, a unica forma que consegui como citei antes via iptables, mas ai eu não consegui que meus clientes resolvam,
e tenho nos clientes varias classes de Ips
192.166.
192.164.
192.168.
192.165.
etc...

No meu named coloquei 192.0.0.0/8 conforme vc mensionou, mas não deu certo, Hosts de fora continuam conseguindo resolver com meu DSN...

[mistymst]

Bom... liberar a /8 toda é complicado, afinal os IPs privado sao apenas 192.168.0.0-192.168.255.255 para os enderecos se nao me engando (maldita memoria que nao liembra de todas as RFCs...)

bom me mostre lá o seu named.conf que ai sim da para ter dar um help melhor

[romeudu]

Cara vc ja testou bloquear a reolução de nomes p/ fora e somente liberar p/ sua rede interna?!?!?.
Nw vejo forma amsi facil do q isso!!...

[Michael]

Bom... liberar a /8 toda é complicado, afinal os IPs privado sao apenas 192.168.0.0-192.168.255.255 para os enderecos se nao me engando (maldita memoria que nao liembra de todas as RFCs...)

bom me mostre lá o seu named.conf que ai sim da para ter dar um help melhor

Ola mistymst veja o meu named como está!!!

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind/README.Debian for information on the
// structure of BIND configuration files in Debian for BIND versions 8.2.1
// and later, *BEFORE* you customize this configuration file.
//

allow-recursion {
192.0.0.0/8;
};

include "/etc/bind/named.conf.options";

// reduce log verbosity on issues outside our control
logging {
category lame-servers { null; };
category cname { null; };
};

// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};

zone "serversat01.com.br" {
type master;
file "/etc/bind/serversat01.com.br.db";
};

zone "xxx.xxx.xxx.200.in-addr.arpa" {
type master;
file "/etc/bind/serversat01.com.br.rev";
};

// add local zone definitions here
include "/etc/bind/named.conf.local";


Com relação aos IP´s meu problema é que tenho mais de 254 hosts, e então tive que criar mais classes alem de 192.168.0.0
192.166
192.165
192.164 etc...

Detalhe... Esse dominio serversat01.com.br eu não utilizo ele, pois preciso de DNS apenas para resolver nomes para clientes navegarem, minha hospedagem está em um datacenter, pois as vezes perdia muito tempo pra dar manutenção em servidor de e-mail etc... ai preferi locar um datacenter...!!