Bind Sicherheitsloch - Recursive Queries

Bind, PowerDNS
cgi
Posts: 31
Joined: 2003-11-19 14:48
Location: Nordbayern

Bind Sicherheitsloch - Recursive Queries

Post by cgi » 2004-11-30 14:19

Hallo zusammen!

Ã?ber das Zonecheck-Tool der Denic (http://zonecheck.denic.de/zonecheck/) bin ich darauf aufmerksam geworden, dass alle meine Bindserver rekursive Abfragen erlauben.

Code: Select all

Warning: The nameserver allow recursive queries
If you configure your nameserver to answer recursive queries, it means that you allow your nameserver to be used by anyone to resolve any kind of queries.
Anscheinend sind "recursive queries" zwar standardmäßig erlaubt, stellen aber (angeblich) ein gewisses Sicherheitsrisiko dar.

Wie sind eure Meinungen/Erfahrungen dazu? Erstaunlicherweise finden sich kaum Google-Hits zu dieser Frage...

Es grüßt,
CGI

gierig
Posts: 286
Joined: 2002-10-15 16:59
Location: WHV

Re: Bind Sicherheitsloch - Recursive Queries

Post by gierig » 2004-11-30 14:46

in die Conf

allow-recursion { 127.0.0.1; xxx.xxx.xxx.xxx};

für XXX deine IP vom Server, mus aber nicht wenn alle Programme
sauber konfiguriert sind und den DNS erstmal über Localhost suchen
(/etc/resolve.conf checken). Oder halt die Ip rein die das dürfen sollen.


SicherheitsRisiko halte ich etwas für zu hoch gesetzt, aber ich bin der
meinung das mein DNS auch nur für meine Domains auflösen soll.
bzw nur für mich DNS Server sein soll. Da hat kein anderer was zu
suchen. Wobei immer schön bei test mal einen solchen DNS zu kennen und zu benutzten um sich ne meinung zu bilden :-)

gruß gierig

dotme
Posts: 150
Joined: 2004-12-15 16:48

Re: Bind Sicherheitsloch - Recursive Queries

Post by dotme » 2004-12-15 17:02

gierig wrote:in die Conf

allow-recursion { 127.0.0.1; xxx.xxx.xxx.xxx};
musste gerade feststellen, dass dies nicht ausreicht, wenn man einen gemischten (authoritative/caching) BIND betreibt und Anfragen fremder Clients nach fremden Domains nicht beantworten möchte. VORRAUSGESETZT man hat ein "allow-query { any; };" in "options{}". Denn bereits gecachede Antworten werden zurückgeliefert. :(

Stattdessen verwende ich jetzt "allow-query { localhost; }" (+ allow-recursion ) und lasse in den delegierten Zonen die Queries wieder zu ("allow-query { any; };").

Für den reinen autoritativen Betrieb empfiehlt des Handbuch "recursion no;" in options{}.

gruss,
.me