Hola a todos los listeros de este nueva comunidad, yo por aca nuevamente molestando.....
Algún documento, link mas menos actualizado referente a políticas o configuraciones de seguridad para Bind9 ???
he encontrado varios pero no son del todo claros y mas de alguno se contradice con otro, ademas de no tener una suficiente explicación o fundamentos del porque aplicar una regla u otra.
les comento la configuracion que he realizado para tener un panorama mas claro
tengo un dns primario y secundario, ambos poseen 2 ethernet una esta mirando al mundo con una ip publica y la otra apuntando a una lan...
IP local NS1 172.16.1.2/24 IP local NS2 172.16.1.3/24
aquí el named.conf.local del ns1
acl "slaves" { 172.16.1.3; };
zone "midominio.cl" { type master; file "/etc/bind/db.midominio"; allow-query { any; }; //Permitimos consultas a cualquier host allow-transfer { slaves; }; //Permitimos transferencias solamente a los esclavos };
zone "84.77.164.in-addr.arpa" { type master; file "/etc/bind/db.164"; allow-query { any; }; //Permitimos consultas a cualquier host allow-transfer { slaves; }; //Permitimos transferecias solamente a los esclavos };
Aquí el named.conf.local del ns2
zone "midominio.cl" { type slave; file "/etc/bind/slave/db.midominio"; masters {172.16.1.2; }; };
zone "84.77.164.in-addr.arpa" { type slave; file "/etc/bind/slave/db.164"; masters {172.16.1.2; }; };
ambos equipos solo se pueden administrar desde la lan ademas tienen un shorewall por el cual se han bloqueado todos los puertos hacia internet botando todos los paquetes que no pertenezcan a solicitudes del puerto 53 tanto tcp como udp
alguna idea??? fundamentos??
todo sera muy bien recibido por este chiquillo que esta ansioso de seguir aprendiendo DNS, que es un tema que me esta enamorando mucho...
Hola Pablo. Respecto a tu primera pregunta:
On 05/31/2012 11:22 PM, Pabluster wrote:
Hola a todos los listeros de este nueva comunidad, yo por aca nuevamente molestando.....
Algún documento, link mas menos actualizado referente a políticas o configuraciones de seguridad para Bind9 ???
Esta es una guía muy práctica y actualizada: http://www.cymru.com/Documents/secure-bind-template.html
Saludos,
Hugo
On 01/06/12 15:22, Pabluster wrote:
Hola a todos los listeros de este nueva comunidad, yo por aca nuevamente molestando.....
Nadie molesta, todas las consultas son bienvenidas. Es bueno ver la lista con actividad.
Algún documento, link mas menos actualizado referente a políticas o configuraciones de seguridad para Bind9 ???
he encontrado varios pero no son del todo claros y mas de alguno se contradice con otro, ademas de no tener una suficiente explicación o fundamentos del porque aplicar una regla u otra.
Sugiero que compartas los links que encontraste y discutamos. A lo mejor hay espacio para mejoras en alguno de ellos.
A mi me gusta este documento
http://www.cymru.com/Documents/secure-bind-template.html
que se ha mantenido actualizado.
En la epoca que editaba configuraciones de BIND para servidores en produccion, las reglas eran:
razones de rendimiento)
vienen de una red que conoces (como tu red interna) -Usar chroot
dan eso por omision cuando se instala de paquete)
interesa, configurarlo explicitamente (y deshabilitarlo en la configuracion global).
Eso es lo que recuerdo en este minuto,
Saludos Sebastian Castro Aprendiz de DNS
todo sera muy bien recibido por este chiquillo que esta ansioso de seguir aprendiendo DNS, que es un tema que me esta enamorando mucho...
--
Pablo Figueroa Alvarez Linux user N° 379917 - counter.li.org http://counter.li.org/
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp