Instrucciones para restringir el servicio de recursividad

Con el fin de restringir el servicio de recursividad en su servidor de nombre, se recomiendan las siguientes acciones, que dependen del tipo de configuracion que tenga. Los ejemplos estan basados en BIND 9.

• Cerrar completamente la recursividad
  Si su servidor de DNS solo es primario y/o secundario por ciertas zonas y no es utilizado como cache dentro de su red, debe especificar lo siguiente en su archivo de configuracion named.conf

  options
  {
    ...
   
    recursion no;
   
    ...
  };
  

• Restringir el uso de la recursividad
  Si su servidor de DNS opera como cache para su red local, restrinja el rango de direcciones para los cuales respondera.

  // Lista de los rangos de direcciones IP que son clientes validos
  acl recursive-clients { .... };
  
  options {
    ...  
  
    recursion yes;  
    allow-recursion { recursive-clients; };
    allow-query { any; };
  
    ...
  };
  

• Restricciones en un servidor caché/autoritativo
  Si su servidor de DNS opera como caché para su red local y además como primario y/o secundario para algún dominio, Ud. tiene una configuración que no es recomendada, pues está sujeto a ataques de cache poisoning. Aún así existen medidas para restringir el servicio de recursividad, siguiendo las instrucciones del punto 2, mas lo siguiente:

  zone "example.com" {
    ....
  
    allow-query { any; };  // Repita esto en cada zona configurada
  
  };
  

• Ejecute dos instancias de su servidor de DNS (ya sea en dos maquinas diferentes o en la misma maquina con IPs diferentes). Para ejecutar dos instancias en la misma maquina, debe especificar en la configuracion respectiva la direccion donde atendera. Para ello, debe incluir lo siguiente:

  options {
    ....
  
    listen-on { X.Y.W.Z; };  // Direccion IP donde se atendera
  
    ....
  };
  

   

  ---

  Volver a la portada.