Da bind leider immer wieder Sicherheitslücken enthält, ist es ein beliebter Angriffspunkt für Angreifer. Da zu vielen bind-Versionen Sicherheitslücken bekannt sind, kann eine Angreiferin auf die Idee kommen, einfach die Version abzufragen, und dann kann sie die nun bekannten Sicherheitslücken ausnutzen.
Deshalb mag es günstig sein, die Versionsnummer nicht zu verraten, um der Angreiferin das Leben etwas schwerer zu machen. |
Die Version läßt sich erfahren, wenn man einen BIND-Server nach "version.bind", Type TXT, in der Klasse CHAOS fragt. Das geschieht z.B. mit folgendem Kommando:
root@linux # dig @<server> version.bind TXT CHAOS
|
Eine Antwort sieht dann (gekürzt) so aus:
VERSION.BIND. 0S CHAOS TXT "8.1.2" |
Man kann dazu natürlich auch nslookup verwenden:
root@linux # nslookup -class=CHAOS -query=txt version.bind.
|
Neuere BIND-Versionen kennen eine Konfigurationsoption, um die dabei angezeigte Zeichenkette zu setzen. Man kann sich damit dann eine Version 10.100.1000 basteln, oder auf etwas ganz anderes setzen Das kann dann so aussehen:
/etc/named.conf |
options {
...
version "[Secured]";
};
|
Dann wird mit dem Kommando das auch angezeigt:
VERSION.BIND. 0S CHAOS TXT "[Secured]" |
Und Rückschlüsse auf die Version sind so nicht mehr möglich. Diese Änderung kann natürlich auch gemacht werden, in dem der RR "version.bind" in einer Zone gesetzt wird. Dabei können dann, wie für jede andere Zone auch, ACL-Berechtigungen konfiguriert werden. Diese Zone wird so konfiguriert, wie auch die Zonen der normalen Namen der Klasse IN. Dazu benötigt man z.B. folgenden Eintrag in der Konfigurationsdatei:
/etc/named.conf |
zone "bind" CHAOS {
type master;
file "bind.zone";
allow-query { none; }; //Zugriff verweigern
allow-transfer { none; }; //damit AXFR auch nicht geht.
};
|
Natürlich kann man auch Ausgewählten den Zugriff erlauben. Nun muß noch die Datenbank selbst angelegt werden. Sie kann folgenden Inhalt haben:
bind.zone |
bind. CHAOS SOA pri-ns.selflinux.de. admin.selflinux.de. (
2000012501 ; Serial (Seriennummer)
3H ; Refresh (Aktualisierung)
1H ; Retry (neuer Versuch)
100D ; Expire (ungültig nach)
1D ) ; min. TTL (Mindestgültigkeit)
CHAOS NS dns
version CHAOS TXT "[Secured]"
|
|