Назад | Перейти на главную страницу

Как ограничить передачу зон только на определенные авторизованные серверы

Недавно мне не удалось выполнить сканирование на соответствие стандарту PCI по следующим причинам:

Этот DNS-сервер разрешает неограниченную передачу зон. Злоумышленники могут использовать эту информацию для получения информации о структуре ваших сетей, чтобы помочь в обнаружении устройств до фактической атаки.

Предлагаемое решение выглядит следующим образом:

Перенастройте этот DNS-сервер, чтобы ограничить передачу зон только определенным авторизованным серверам.

Я использую выделенный сервер Linux Centos.

Насколько я понимаю, мне нужно отредактировать файл /etc/ named.conf, что я сделал, и соответствующая часть выглядит следующим образом:

options {
    acl "trusted" {
        127.0.0.1; 
            xxx.xxx.xxx.001; //this is one of the server's ip's
            xxx.xxx.xxx.002; //this is another server's ip
    };

    allow-recursion { 
        trusted;
    };
    allow-notify { 
        trusted;
    };
    allow-transfer { 
        trusted;
    };
};

Затем я перезапустил названную службу /etc/rc.d/init.d/named restart и запросил повторное сканирование, которое снова не удалось по той же причине.

Я упустил что-то очевидное?

Проверьте оставшуюся часть вашего конфигурационного файла (который вы не публиковали здесь), чтобы убедиться, что allow-transfer не отменяется рассматриваемой конфигурацией зоны.