DNS安全性設定 |
|
weithenn
一般會員 發表:12 回覆:9 積分:9 註冊:2003-12-29 發送簡訊給我 |
最近看了一些DNS安全的文件也跟大家分享一下吧~~^^ 安全性設定: (1)安全性設定 -- Zone Transfer 限制
DNS架構下常需透過更新Zone File動作更新Master及Slave間Zone File的資料,在信任網域下,將Zone File資料列出是OK的,若是能由外界進行查找您的Zone資料時將為演變為具有危險的行為,想想若有人知道您Zone File得設定都摸的一清二楚,感覺相當恐怖的,因此限制您的 Zone transfer 將相行重要。 Zone Transfer檢測方式(以 Nslookup 為例 ) # nslookup //進入nslookup交談模式
Default Server: localhost.weithenn.idv.tw
Address: 127.0.0.1 > server weithenn.idv.tw //指定以weithenn.idv.tw為NS做查詢
Default Server: weithenn.idv.tw
Address: 61.30.44.6 > ls -d weitenn.idv.tw //有做限制無法查尋Zone File
[weithenn.idv.tw]
*** Can't list domain weitenn.idv.tw: Unspecified error 備註:若您是在DNS 伺服器所管轄的區域內,此動作是正常的;反之,若能由外部進行查尋相信您心裡已經開始毛毛的了~~^^ 改善方法:
更改您的named.conf在正解檔案填入您Slave DNS的IP,代表只有這個IP能Zone Transfer您的Zone File zone "weithenn.idv.tw" {
type master;
file "named.weithenn.idv.twfor";
allow-transfer { 61.60.59.58; };
};
(2)安全性設定--如何隱藏 BIND DNS 版本
為何要隱藏您的BIND DNS版本呢?原因在於有心人士可以透過先瞭解您BIND版本來尋找相關漏洞攻擊程式,讓您DNS伺服器無法運作,因此在ISC BIND下可以透過設定來隱藏BIND系統版本 。 測試BIND DNS版本: #dig -t txt -c chaos VERSION.BIND @DNS_Server(DNS_Server就是您要測那一台的domain name或是IP也可以) 可看到一行VERSION.BIND. 0S CHAOS TXT "8.3.7-REL",可知您的BIND 版本為8.3.7-REL 改善方法:
修改您的named.conf在Options內加入version那一行,至於要填入假版本還是其他文字,隨便您了,當然改完要記得重新啟動DNS哦。 options { ... version "隨意填入"; }; 參考來源:
http://dns-security.twnic.net.tw/faq/ZoneTransfer-040306/DNSSET-ZoneTransfer.htm DNS安全資源網站-- Zone Transfer 限制 http://dns-security.twnic.net.tw/faq/hiddenver.htm DNS安全資源網站--如何隱藏 BIND DNS 版本 [ 技術專欄 ] 不斷精進一直是我追求的目標,有空也來指導一下小弟的網站吧!!http://www.weithenn.idv.tw
------
不斷精進一直是我追求的目標,有空也來指導一下小弟的網站吧!! http://www.weithenn.idv.tw |
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |