Last Updated on 01/01/2023 by administrator
Zabezpečení BIND DNS serveru na Ubuntu (BIND Security)
Konfigurace BIND DNS serveru byla popsána ve článku https://martinuvzivot.cz/konfigurace-bind-dns-serveru-na-ubuntu-20-04-configure-bind-ubuntu/. Tento článek popisuje základní zabezpečení BIND DNS aplikace.
1. Oddělit autoritativní a rekurzivní server
BIND pracuje defaultně v hybridním modu, a tak umožnuje byt zároveň autoritativní a rekurzivní server. Tyto dvě funkce se doporučují oddělit a mít tak autoritativní a rekurzivní server zvlášť viz. [3]. Neotvírat rekurzivní server do světa. [10]
Zda je autoritativní server zároveň rekurzivním se ověří příkazem:
dig +short test.openresolver.com TXT @<veřejná IP adresa Vašeho autoritativního serveru>
Pokud se zobrazí “open-resolver-detected”, je autoritativní server zároveň i rekurzivním. Pokud se nezobrazí nic, je vše v pořádku.
2. Ujistit se, že je nainstalována up-to-date verze BIND:
apt-get update
apt-get install bind9
3. Ujistit se, že BIND neběží pod rootem:
ps aux | grep bind | grep -v '^root'
Pokud tomu tak je změnit permissions a ownership:
chown -R root:bind /etc/bind chown root:bind /etc/bind/named.conf* chmod 640 /etc/bind/named.conf*
Ověření:
ls -la /etc/bind
4. Zabezpečení v souboru named.conf.options:
V souboru /etc/bind/named.conf.options je možné přidat následující řádky pod rubrikou “Options” [1][2]:
allow-recursion
- povolí zasílání rekurzivních DNS dotazů (na kořenové DNS root servery či na forwardery)
- defaultně je nastaven na “any”
- níže příklad, který povoluje resolving pro samotný BIND server a pro subnet 192.168.0.0/24
allow-recursion { localhost; 192.168.0.0/24; };
allow-query
- povolí překlad DNS dotazů v nakonfigurované zóně, nebo zónách tohoto serveru
- defaultně je nastaven na “any”
- níže příklad, který povoluje resolving pro samotný BIND server a pro subnet 192.168.0.0/24
allow-query { localhost; 192.168.0.0/24; };
allow-query-cache
- povolí získání nacachovaných DNS dotazů
- defaultně je nastaven na “any”
- níže příklad, který povoluje resolving pro samotný BIND server a pro subnet 192.168.0.0/24
allow-query-cache { localhost; 192.168.0.0/24; };
allow-transfer
- povolí přenášení zónových souborů
- defaultně je nastaven na “any” [1]
- níže příklad, kde se budou přenášet zónové soubory pouze na IP adresu 192.168.0.89
allow-transfer { 192.168.0.98; };
allow-update
- zakáže dynamické DNS updaty
- defaultně je nastaven na “none” [4]
allow-update { none; };
listen-on port 53
- služba BIND bude poslouchat jen na specifických rozhraních
- defaultně je nastaven na “any”
- níže příklad, kdy služba BIND bude poslouchat na link-local a 192.168.0.99 IP adrese
listen-on port 53 { 127.0.0.1; 192.168.0.99; };
version, hostname a server-id
- skryje verzi hostname a server-id BIND serveru
- defaultně zobrazuje BIND verzi, hostname i server-id
- skrytím útočník nebude prohledávat známe chyby v dané verzi BIND
version "version not currently available"; hostname "hostname not currently available"; server-id "server-id not currently available";
dnssec-validation
- validuje odpověď z DNSSEC enabled zón [1]
- od verze BIND 9.11-ESV je defaultně nastaven na “auto” [9]
- pro nižší BIND verze je nutné explicitně zadat příkaz níže:
dnssec-validation auto;
empty-zones-enable
- pokud rekurzivní dotaz obsahuje jednu z privátních IP adres podle RFC1918, nebude se posílat na veřejný DNS server (ty je stejně nedokážou zpracovat) [1]
- defaultně je nastaven na “yes”
empty-zones-enable yes;
minimal-responses
- obyčejně se BIND snaží být nápomocný a zasílá dodatečné informace v DNS odpovědích. To zvětšuje DNS zprávu, která pak může být využita v DDoS útocích (pokud je náš DNS server rekurzivní a je otevřený do internetu) [3]
- defaultně je nastaven na “yes”
- forma ochrany proti amplification a DDoS útokům
- pokud je příkaz nastaven na “yes” vypne se zasílání dodatečných informací a sníží velikost zprávy DNS odpovědi a tak “victim” nebude tolik zahlcena
minimal-responses yes;
minimal-any
- ochrana proti amplification a DDoS útokům
- defaultně je nastaven na “no”
- stejně jako u příkazu minimal-responses – pokud je příkaz nastaven na “yes” vypne se zasílání dodatečných informací a sníží velikost zprávy DNS odpovědi a tak “victim” nebude tolik zahlcena
- z mé praxe byl příkaz vyzkoušen na verzi BIND 9.16.1, nicméně velikost DNS odpovědi nebyla snížena
minimal-any yes;
rate-limit
- omezí počet DNS dotazů
- od verze BIND 9.9.4 je možné použít příkaz
- defaultně vyplý [6]
- ochrana proti amplification a DDoS útokům [5]
- příkaz je doporučeno používat jen pro autoritativní servery [5]
- je doporučovaný místo použití paketového filtru [8]
- zde příklad, kdy BIND odpoví maximálně na 10 DNS dotazů za sekundu
rate-limit {responses-per-second 10; };
Příklad Zabezpečení BIND DNS serveru pro autoritativní server:
- není zároveň rekurzivním a je otevřený do internetu [6].
options { //snižuje riziko DNS amplification útoků recursion no; allow-query-cache { none; } // zamezí přenášení zónových souborů allow-transfer { none; }; // umocnění ochrany proti amplification a DDoS útokům // omezení počtu DNS dotazů na 15/sec rate-limit {responses-per-second 15; }; // vypnutí dodatečných informací v DNS odpovědích minimal-responses yes; minimal-any yes; // skrytí verze, hostname a server-id version "version not currently available"; hostname "hostname not currently available"; server-id "server-id not currently available"; };
Pozn. pokud je nastaveno recursion no;, nastaví se defaultně “allow-query-cache { none; }”; viz. [7] a je ignorováno vše v příkazu allow-recursion
Příklad Zabezpečení BIND DNS serveru pro rekurzivní server:
acl "acl_trusted_clients" { localhost; 192.168.0.0/24; };
options {
// ochrana proti IP spoofingu
allow-recursion { acl_trusted_clients; };
allow-query-cache { acl_trusted_clients; };
// zamezí přenášení zónových souborů
allow-transfer { none; };
// vypnutí dodatečných informací v DNS odpovědích
minimal-responses yes;
minimal-any yes;
// skrytí verze, hostname a server-id
version "version not currently available";
hostname "hostname not currently available";
server-id "server-id not currently available";
};
Restart služby BIND:
service bind9 restart
Alternativně restart pomocí:
systemctl restart bind9
Ověření nakonfigurovaných parametrů v named.conf.options souboru:
Bude předpokládáno, že nakonfigurovaný BIND server běží pod IP adresou 192.168.0.99
Ověření allow-recursion:
Dig:
dig @192.168.0.99 google.com +short
Výpis výše by měl ukázat IP adresu nebo IP adresy překladu.
Nslookup:
nslookup google.com 192.168.0.99
Výpis výše by měl ukázat IP adresu nebo IP adresy překladu.
Ověření allow-query:
Dig:
dig @192.168.0.99 <domenove jmeno v zonovem souboru> +short
Výpis výše by měl ukázat IP adresu nebo IP adresy překladu.
Nslookup:
nslookup <domenove jmeno v zonovem souboru> 192.168.0.99
Výpis výše by měl ukázat IP adresu nebo IP adresy překladu.
Ověření allow-transfer:
Dig:
dig axfr @192.168.0.99 <jmeno zony>
Pokud se zobrazí Transfer failed, je přenášení zónových souborů zakázáno
Nslookup:
nslookup > server 192.168.0.99 > set type=any > ls -d <jmeno zony>
Pokud se zobrazí The DNS server refused to transfer the zone <jméno zóny> to your computer, je přenášení zónových souborů zakázáno
Ověření, že BIND poslouchá na specifických rozhraních:
sudo lsof -P -i -n | grep named
Ověření skrytí version, hostname a server-id BIND serveru:
Dig:
dig +short @192.168.0.99 version.bind txt CH dig +short @192.168.0.99 id.server txt CH dig +short @192.168.0.99 hostname.bind txt CH
Nslookup:
nslookup -q=txt -class=CHAOS version.bind 192.168.0.99 nslookup -q=txt -class=CHAOS id.server 192.168.0.99 nslookup -q=txt -class=CHAOS hostname.bind 192.168.0.99
Ověření dnssec-validation:
sudo rndc validation check
Výpis příkazu výše by měl ukázat DNSSEC validation is enabled (view _default).
dig soa . @192.168.0.99 +adflag
Výpis příkazu výše by měl ukázat ad flag – flags: qr rd ra ad;
Ověření minimal-responses:
dig @192.168.0.99 ns google.com | grep rcvd
Výpis příkazu výše by měl ukázat velikost DNS odpovědi.
Ověření minimal-any:
dig @192.168.0.99 google.com any | grep rcvd
Výpis příkazu výše by měl ukázat velikost DNS odpovědi.
TIP:
Všechny bezpečnostní chyby BIND lze najít zde: https://kb.isc.org/docs/aa-00913
Verze bind:
named -v
Zdroje:
[1] https://github.com/mesche/bind-dns-server-basic-config/blob/master/named.conf.options
[2] https://security-24-7.com/hardening-guide-for-bind9-debian-platform/
[3] https://www.slideshare.net/MenandMice/a-secure-bind-9-best-practices
[4] https://2mysite.net/docs/Pro_DNS_and_BIND/ch7/xfer.html
[5] https://kb.isc.org/docs/aa-00994
[6] https://bind9.readthedocs.io/en/latest/configuration.html
[7] http://www.zytrax.com/books/dns/ch7/queries.html#allow-query-cache
[8] https://kb.isc.org/docs/bind-best-practices-authoritative
[9] https://bind9.readthedocs.io/en/latest/dnssec-guide.html
[10] https://ondřej.caletka.cz/dl/slidy/20151214-CESNET-Sprava_a_zabezpeceni_DNS.pdf