Como deshabilitar consultas DNS recursivas y transferencias de zonas en Bind
|Como es sabido el protocolo DNS desde su diseño es bastante inseguro y como se ha comprobado en muchas ocasiones, se puede comprometer de manera facil y sencilla si no esta bien configurado y empleando mecanismos implementados los cuales fueron implementados con el unico proposito de mitigar un poco la brecha de seguridad del protocolo.
Una de las recomendaciones de seguridad en cuanto a los servidores DNS es deshabilitar las consultas recursivas, ya que de esta forma se puede evitar ataques de envenamiento DNS, sin embargo, a la fecha de hoy todavia se encuentran publicados en internet que aun permiten consultas recurivas lo que puede comprometer la seguridad del servidor y los clientes que hagan uso de el.
Para deshabilitar la consultas recursivas en el servidor DNS, solo falta agregar los siguientes parametros en la seccion options del archivo named.conf
allow-transfer {“none”;};
allow-recursion {“none”;};
recursion no;
De esta forma, deshabilitamos las consultas recursivas y adicionalmente, deshabilitamos la transferencia de zona lo cual tambien puede convertirse en un fallo de seguridad. Como ven una solucion sencilla que puede ahorrar grandes dolores de cabeza.