Ich habe kürzlich einen PCI-Compliance-Scan aus folgendem Grund nicht bestanden:
Dieser DNS-Server ermöglicht uneingeschränkte Zonenübertragungen. Angreifer können diese Informationen möglicherweise nutzen, um sich Kenntnisse über die Struktur Ihrer Netzwerke anzueignen und so vor einem tatsächlichen Angriff Geräte zu erkennen.
Und die vorgeschlagene Lösung lautet wie folgt:
Konfigurieren Sie diesen DNS-Server neu, um Zonenübertragungen auf bestimmte autorisierte Server zu beschränken.
Ich betreibe einen dedizierten Linux-Centos-Server.
Nach meinem Verständnis muss ich die Datei /etc/named.conf bearbeiten, was ich auch getan habe. Der relevante Teil lautet wie folgt:
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};
Anschließend habe ich den genannten Dienst neu gestartet /etc/rc.d/init.d/named restartund einen erneuten Scan angefordert, der aus demselben Grund erneut fehlschlug.
Übersehe ich hier etwas Offensichtliches?
Antwort1
Überprüfen Sie den Rest Ihrer Konfigurationsdatei (die Sie hier nicht gepostet haben), um sicherzustellen, dass „allow-transfer“ nicht durch die betreffende Zonenkonfiguration überschrieben wird.