Sécuriser la récursion DNS sur BIND

An article by Olivier Legras    Pas de Commentaire

Par defaut, BIND accepte de répondre à toutes les demandes de résolution. Ceci est la récursion et peut être une faille de sécurité.

Lorsque vous hébergez des domaines publique .fr, le zonecheck de l’afnic peut vous avertir que votre serveur dns est récursif.

Si vous avez des serveurs dns publiques et d’ autres serveurs dns ou postes qui font des requêtes sur ces serveurs, vous ne pouvez pas vous permettre de bloquer les requêtes récursives sauf si vous avez un serveur dédier pour ces requêtes.

Pour remédier à ce problème, nous allons utiliser un mécanisme de "vue" qui nous permettra d’avoir une configuration de BIND qui donne le droit d’effectuer des requêtes seulement à certain réseau ou poste. Voici la conf :

//
// Access-lists
//

acl "recursionOK" {
    172.17.4.0/24;
    127.0.0.1;
};

//
// Vues permettant de rendre le serveur DNS récursif en interne et Non recursif en externe
//

view "internal" {
             match-clients {recursionOK;};
             recursion yes;
             include "/etc/zones.conf";
       };

view "external" {
             match-clients {any;};
             recursion no;
             include "/etc/zones.conf";
       };

L’access-list "recursionOK" permet de spécifier les réseaux et adresses ip qui pourront effectuer des requêtes sur notre serveur DNS.

Les vues "internal" et "external" permettent de différentier la configuration de bind en fonction de nos restrictions.

la vue internal permettra ici d’ accepter les requêtes récursives provenant des membres de l’access-list "recursionOK".

la vue external sera valable pour le reste du monde – Requêtes provenant de l’exterieur et interieurs.

le fichier /etc/zones.conf contient l’ensemble des zones.

Attention :

Dans un environnement chrooter de redhat, il faut que le fichier zones soit dans /var/named/chroot/etc/ et qu’un lien soit créé dans le repertoire /etc vers /var/named/chroot/etc/zones.conf