Mein DNS muss sicherer werden

less than 1 minute read

Nachdem meinen DNS nun auf dynamische Updates vorbereitet habe, möchte ich noch ein wenig um dessen Sicherheit kümmern.

acl internals { localhost; }; options { allow-transfer { none; }; // sample allow-transfer (no one) allow-recursion { internals; }; // restrict recursion};

Mit allow-transfer verbiete ich erstmal generell den Transfer von Zonendaten. Der nächste Punkt allow-recursion ist ein echt interessanter.

Generell kann ich jeden Nameserver bei mir eintragen und dieser würde die Anfragen beantworten, selbst wenn er nicht für diese Domain verantwortlich ist. Das ist ja üblicherweise auch das gewünschte Verhalten. Wenn ich hier meine DNS z. B. nach www.google.de Frage, so möchte ich ja auch eine Antwort darauf haben oder ich müsste mir sehr viele IP-Adressen merken.

Wenn der Server jedoch im Internet frei zugänglich ist, so kann jeder diesen benutzen, um Anfragen für beliebige Domains zu machen und meine Adresse hat die Anfrage dann durchgeführt. Das ist nicht unbedingt in meinem Interesse…

Als nächstes gilt es über DNSSECnachzudenken…