Bind9 DNS-Server absichern

Am 15. Februar fand, wie heise.online berichtet, eine DoS-Attacke auf DNS-Root-Nameserver statt. Dadurch werden zwei Probleme klar:

  1. Provider sollten dafür sorgen, das keine Pakete mit gefälschten Absenderadressen in ihre Netze gelangen. Das heißt: direkt den vom Endkunden eintreffenden Traffic durch eine Firewall schicken und alle Pakete mit Absender-Adressen, die nicht sein dürfen droppen.
  2. DNS-Server sollten rekursive Abfragen (also das Auflösen von DNS-Namen, für die die Server nicht lokal zuständig sind) nur für den IP-Adressbereich zulassen, für den sie als Resolver zuständig sind.

Ich habe selbst schon mitbekommen das von mir oder von Bekannten betriebene DNS-Server als Resolver misbraucht wurden, was den Traffic und die Last massiv in die Höhe trieb. Aus diesem Grund habe ich auch vor einiger Zeit angefangen meine DNS-Server dahingehend abzusichern. Der Test von www.DNSreport.com umfasst seit neuestem den Test, ob die DNS-Server für alle Clients rekursive Abfragen erlauben. Damit kann man seinen eigenen Server sehr leicht auf diese Schwachstelle testen. Um sie abzuschalten, geht man in Bind 9 (auf Debian GNU/Linux, andersfalls kann es sein das eine andere Konfigurationsdatei benutzt werden muß) wie folgt vor:

/etc/bind/named.conf.options


// In dieser ACL kann man durch Semikolon getrennt
// alle Netze eintragen, die diesen DNS-Server als
// Resolver benutzen dürfen
acl meinerechner { 192.168.1.1/24; };

options {
   [...]
   allow-recursion { meinerechner; };
   [...]
}

Dieser Beitrag wurde unter Internet, Security Corner veröffentlicht. Setze ein Lesezeichen auf den Permalink.