localhost      1D      IN      A      127.0.0.1

mail            1D      IN      CNAME main

proxy            1D      IN      CNAME main

www            1D      IN      CNAME main

c1            1D      IN      A      192.5.62.75

c2            1D      IN      A      192.5.62.76

c3            1D      IN      A      192.5.62.77

ns            1D      IN      A      192.5.62.73

ftp            1D      IN      CNAME main

@            1D      IN      SOA      ns root (

                            2001081109      ;serial

                            8H            ;refresh

                            2H            ;retry

                            1W            ;expiry

                            1D )            ;minimum

(данная информация является файлом пересылки зоны), то это означает, что администратор системы не предпринял никаких усилий, хотя бы минимальных, (которые я опишу в этой статье) для защиты DNS то ли от незнания, то ли от неумения. Но это все неважно, так как речь в этой статье будет идти не о причинах, побудивших или не побудивших администратора к такому безразличию, которое в свою очередь может привести к плачевным результатам.

Я хочу попытаться показать, как хотя бы «немного», (если это слово можно считать корректным в контексте сетевой безопасности) защитить свой DNS-cервер. Я ни в коем случае не претендую на полноту изложенной здесь информации, так как этот вопрос требует намного более пристального внимания со стороны администраторов и выходит за пределы этой статьи; более детальную информацию о защите DNS можно получить в списке дополнительных материалов в конце этой статьи.

Итак, начнем. Прежде всего следует сказать, что все описанное ниже будет относиться к настройке bind 8.x.x. Работать мы будем непосредственно с файлами конфигурации bind, а если быть точным, то в основном с named.conf (/etc/namedb/named.conf).

Первое, что необходимо сделать в named.conf – это определить список доступа acl, в который будут входить «доверенные» сети и хосты (так же я советую включить в этот список IP -адреса первичных DNS-серверов, которые делегировали на вас управление каким-либо доменом). Создаем секцию acl в самом начале файла (named.conf):

acl "trusted" {

       localhost;    

       192.168.3.0;

};

таким образом, «доверенными» являются localhost и сеть (192.168.3.0), хосты которой пользуются услугами нашего cервера имен.

Далее в секцию options данного файла вносим:

 options {