Recientemente fallé en un análisis de cumplimiento de PCI debido a lo siguiente:
Este servidor DNS permite transferencias de zona sin restricciones. Los atacantes pueden utilizar esta información para obtener conocimientos sobre la estructura de sus redes y ayudar en el descubrimiento de dispositivos antes de un ataque real.
Y la solución sugerida es la siguiente:
Vuelva a configurar este servidor DNS para restringir las transferencias de zona solo a servidores autorizados específicos.
Estoy ejecutando un servidor Linux Centos dedicado.
Tengo entendido que tengo que editar el archivo /etc/named.conf, lo cual hice y la parte relevante es la siguiente:
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};
Luego reinicié el servicio nombrado /etc/rc.d/init.d/named restarty solicité una nueva exploración, que volvió a fallar por el mismo motivo.
¿Me estoy perdiendo algo obvio aquí?
Respuesta1
Verifique el resto de su archivo de configuración (que no publicó aquí) para asegurarse de que la configuración de zona en cuestión no anule la transferencia de permisos.