Por una parte debemos restringir las transferencias, lo que como vimos en la sección anterior se puede hacer anulándolas o restringiéndolas en /etc/bind/named.conf.options
Por otra parte deberíamos desactivar la recursividad salvo que fuera necesario, pues puede acarrear ataques por DNS spoofing. Para que nuestros clientes de la red interna puedan resolver dominios externos, bien especificamos en su configuración un segundo servidor DNS o creamos en bind una acl para permitir la recursividad a determinados equipos o redes
Al igual que en el caso anterior editaremos /etc/bind/named.conf.options
allow-recursion { recurseallow; }; // "none" para deshabilitar recursión. En tal caso la podemos habilitar manualmente para determinados hosts en named.conf
|
En este caso permitiríamos recursividad a los equipos listados en la acl recurseallow. Dicha acl tendría esta forma:
acl recurseallow {
127.0.0.1; //Loopback
192.168.1.1; // No olvidarse de la IP de nuestro propio servidor, pues de lo contrario algún programa puede dar problemas.
192.168.1.102; // An internal host
};
|
Otra medida interesante que garantizará la autenticidad de nuestras consultas DNS es el uso de DNSSEC.