35 Versionen

Da bind leider immer wieder Sicherheitslücken enthält, ist es ein beliebter Angriffspunkt für Angreifer. Da zu vielen bind-Versionen Sicherheitslücken bekannt sind, kann eine Angreiferin auf die Idee kommen, einfach die Version abzufragen, und dann kann sie die nun bekannten Sicherheitslücken ausnutzen.

Die Version läßt sich erfahren, wenn man einen BIND-Server nach "version.bind", Type TXT, in der Klasse CHAOS fragt. Das geschieht z.B. mit folgendem Kommando:

Eine Antwort sieht dann (gekürzt) so aus:

Man kann dazu natürlich auch nslookup verwenden:

Neuere BIND-Versionen kennen eine Konfigurationsoption, um die dabei angezeigte Zeichenkette zu setzen. Man kann sich damit dann eine Version 10.100.1000 basteln, oder auf etwas ganz anderes setzen Das kann dann so aussehen:

options {
        ...
        version "[Secured]";
};
  

Dann wird mit dem Kommando das auch angezeigt:

Und Rückschlüsse auf die Version sind so nicht mehr möglich. Diese Änderung kann natürlich auch gemacht werden, in dem der RR "version.bind" in einer Zone gesetzt wird. Dabei können dann, wie für jede andere Zone auch, ACL-Berechtigungen konfiguriert werden. Diese Zone wird so konfiguriert, wie auch die Zonen der normalen Namen der Klasse IN. Dazu benötigt man z.B. folgenden Eintrag in der Konfigurationsdatei:

zone "bind" CHAOS {
        type master;
        file "bind.zone";
        allow-query { none; };     //Zugriff verweigern
        allow-transfer { none; };  //damit AXFR auch nicht geht.
                        };
  

Natürlich kann man auch Ausgewählten den Zugriff erlauben. Nun muß noch die Datenbank selbst angelegt werden. Sie kann folgenden Inhalt haben:

bind. CHAOS SOA pri-ns.selflinux.de. admin.selflinux.de. (
        2000012501 ; Serial (Seriennummer)
        3H         ; Refresh (Aktualisierung)
        1H         ; Retry (neuer Versuch)
        100D       ; Expire (ungültig nach)
        1D )       ; min. TTL (Mindestgültigkeit)

        CHAOS   NS      dns
version CHAOS   TXT     "[Secured]"