BIND: Nameservermissbrauch verhindern?!

[coltseavers]

Hallo zusammen!

Aus aktuellem Anlass möchte ich gerne wissen, wie ich meinen BIND "absichern" muss.
(Debian Squeeze mit Bind9, stable)

Derzeit wird ja Spamhaus offenbar durch "offene" Nameserver attackiert, die Error-Nachrichten an Spamhaus schicken.

Meine beiden NS sind ganz schlicht konfiguriert: einer ist Master, der andere Slave, es werden eine Handvoll Domains gehostet.
Da ich kein Nameserverexperte bin:
Wie kann ich das Teil absichern, damit er nicht für den o.g. Zweck missbraucht wird?

Die wesentlichen Settings, die ich in der named.conf.options forgenommen habe lauten:

Code: Select all

allow-query {any;};

und dann hab ich noch 2 ForwarderNS eingetragen.

Gewünscht ist eigentlich folgende Funktionalität:
Es sollen Anfragen von jedem beantwortet werden, für die meine NS zuständig sind - also für die Handvoll Domains.
Alle übrigen Anfragen von ausserhalb sollen nicht bearbeitet werden.
Von innen jedoch (also von lokalen Diensten wie Mailserver) soll der Bind aber die Anfragen nach aussen durchführen.

Was ist zu tun?

[Joe User]

http://www.us-cert.gov/ncas/alerts/TA13-088A könnte helfen.

[coltseavers]

Vielen Dank!

Wenn ich das richtig verstehe, muss im Wesentlichen nur unterbunden werden, dass bei Anfragen von aussen rekursive Anfragen erstellt werden.

Habe deshalb folgendes in named.conf.options gesetzt:

Code: Select all

allow-recursion { 127.0.0.1; };

Somit sollten dann nur eigene Anfragen (z.B. des Mailservers auf der gleichen Maschine) aufgelöst werden,
und (gespoofte) Anfragen von ausserhalb werden somit nicht mehr verarbeitet, sodass sich der Dienst nun nicht mehr für DDOS-Attacken missbrauchen lässt.

An alle anderen Leser:
Über http://www.dnsinspect.com kann man seinen Nameserver checken.