Wednesday, 8 September 2010

AXFR и безопасность DNS

Всем, кто когда бы то ни было использовал / настраивал DNS сервисы крайне обязательно к прочтению: http://habrahabr.ru/blogs/infosecurity/88545/

Как узнать, выдает ли Ваш DNS подробные данные о содержимом зоны (AXFR) ? Легко:
dig -t AXFR domain.ru @ns.domain.ru

Или посредством веб-сервиса: http://www.digitalpoint.com/tools/zone-transfer/?domain=domain.ru

И если в ответ Вы получаете полотно зоны, то Ваш DNS сервер настроен некорректно и любой может узнать список Ваших поддоменов.

Как победить проблему? Вот пример для Debian. Открываем конфиг-файл:
vi /etc/bind/named.conf.options

И там внутрь блока options добавляем (тем самым мы позволяем только нашим DNS серверам дергать зону и никому больше):
allow-transfer { ip_первичного_днс; ip_вторичного_днс; };

Перезапускаем DNS:
/etc/init.d/bind9 restart

Все, проблема решена :)

1 comment:

  1. вместо передергивания DNS делайте rndc reload

    ReplyDelete

Note: only a member of this blog may post a comment.