Sicherheit durch Verschleierung

BIND unter Linux/UNIX
BIND ist einer der verbreitetsten DNS-Server im Internet, und man findet ihn als Standard-DNS-Server in vielen Linux- und UNIX-Distributionen. Von daher ist es wichtig zu wissen, wie man auf dieser Plattform mit Zonentransfers umgeht.

BINDs primäre Konfiguration findet sich in der Datei /etc/named.boot. Dies ist eine Textdatei mit einer Reihe von Anweisungen, die kontrollieren, wie BIND in unterschiedlichen Situationen reagiert. Die Standardeinstellung von BIND erlaubt ebenso wie bei Windows 2000 und Windows NT uneingeschränkte Zonentransfers.

Um Ihren BIND-Server abzusichern, müssen Sie die Datei /etc/named.boot mit einem Texteditor öffnen und nach der Zeile „allow-transfer { any; };“ suchen, die angibt, dass jede IP-Adresse auf Zoneninformationen zugreifen darf. In diesem Beispiel möchte ich Zonentransfers nur zwischen einem Red Hat 8-Server, meinem Windows NT-Server mit der IP-Adresse 192.168.1.4 und einem weiteren Server mit der IP-Adresse 172.16.1.5 zulassen. Deshalb ändere ich die „allow-transfer“-Zeile wie folgt:
allow-transfer {192.168.1.4; 172.16.1.5; };

Dieses Beispiel sollte auf Rechnern mit BIND 8 oder BIND 9 funktionieren. Wer noch mit BIND 4 arbeitet, sollte ein Upgrade in Erwägung ziehen, da BIND 4 nicht länger weiterentwickelt wird und in vielen Punkten bereits technisch überholt ist.

Fazit
DNS-Informationen vor neugierigen Blicken schützen – das mag sich trivial anhören. Aber das Verbergen dieser wertvollen Informationen vor Unbefugten kann Ihr System vor gezielten Angriffen bewahren. Die Einschränkung des Zugriffs auf DNS-Informationen hilft dabei, Ihr Netzwerk vor Hackern zu verbergen, und macht Beeinträchtigungen des Netzwerks schwieriger.