Hallo allemaal,
Momenteel ben ik bezig met het opzetten van een centrale nameserver die verschilende andere servers afvraagt en vervolgens de client doorstuurt naar de juiste server. Dit heb ik opgezet d.m.v. forwarders in de BIND9 configuratie. Echter moet hiervoor de "recursive" optie aanstaan en ik heb gelezen dat de server hierdoor vatbaar wordt voor deelname aan "DNS Amplification Attacks".
De server forward alleen naar IP-adressen die geen andere internetadressen kunnen resolven (zoals google.nl) maar alleen de domeinnamen die worden gehost op de betreffende server. Volgens de website: http://openresolver.com/?ip=dns1.chaseweb.nl zou de server niet vatbaar zijn voor kwaatwillenden echter zou ik graag een bevestiging willen van specialisten hier op het forum.
Mischien zien jullie nog andere mogelijkheden?
Hierbij de named.conf.options configuratie:
Benieuwd naar jullie input/reactie,
Momenteel ben ik bezig met het opzetten van een centrale nameserver die verschilende andere servers afvraagt en vervolgens de client doorstuurt naar de juiste server. Dit heb ik opgezet d.m.v. forwarders in de BIND9 configuratie. Echter moet hiervoor de "recursive" optie aanstaan en ik heb gelezen dat de server hierdoor vatbaar wordt voor deelname aan "DNS Amplification Attacks".
De server forward alleen naar IP-adressen die geen andere internetadressen kunnen resolven (zoals google.nl) maar alleen de domeinnamen die worden gehost op de betreffende server. Volgens de website: http://openresolver.com/?ip=dns1.chaseweb.nl zou de server niet vatbaar zijn voor kwaatwillenden echter zou ik graag een bevestiging willen van specialisten hier op het forum.
Mischien zien jullie nog andere mogelijkheden?
Hierbij de named.conf.options configuratie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
| options {
directory "/var/cache/bind";
allow-query { any; };
recursion yes;
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
forwarders {
xx.xx.xx.xx;
xx.xx.xxx.xx;
};
forward only;
dnssec-enable yes;
dnssec-validation yes;
//=====================================================================$
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//=====================================================================$
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
}; |
Benieuwd naar jullie input/reactie,
[ Voor 41% gewijzigd door nickjansen op 19-04-2016 13:27 ]
:strip_icc():strip_exif()/u/57475/ico.jpg?f=community)