BIND安全配置基线Word文件下载.docx
《BIND安全配置基线Word文件下载.docx》由会员分享,可在线阅读,更多相关《BIND安全配置基线Word文件下载.docx(17页珍藏版)》请在冰豆网上搜索。
1.1目的4
1.2适用范围4
1.3适用版本4
1.4实施4
1.5例外条款4
第2章日志安全要求5
2.1日志安全5
2.1.1记录安全事件到文件5
第3章协议安全要求7
3.1防攻击管理7
3.1.1隐藏BIND版本信息7
第4章其他安全要求8
4.1其他安全配置8
4.1.1禁止DNS域名递归查询*8
4.1.2增加查询ID的随机性8
4.1.3限制域名查询*9
4.1.4限制域名递归查询*10
4.1.5指定动态DNS更新主机*11
4.1.6限制对DNS服务器进行区域记录传输的主机*11
4.1.7指定不接受区域请求*12
4.1.8定义ACL地址名*13
4.1.9控制管理接口*14
4.1.10防止DNS欺骗*15
4.1.11设置重试查询次数*16
4.1.12防止污染高速缓存(Cache)*17
第5章评审与修订18
第1章概述
1.1目的
本文档旨在指导系统管理人员进行BIND域名解析软件的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
BIND域名解析软件,支持8.x以上的版本;
1.4实施
1.5例外条款
第2章日志安全要求
2.1日志安全
2.1.1记录安全事件到文件
安全基线项目名称
记录安全事件到文件安全基线要求项
安全基线编号
SBL-BIND-02-01-01
安全基线项说明
解决遇到的各种的异常问题,记录日志和认真地读取日志文件是系统管理员的一项非常重要的任务,所以要记录安全事件到文件中,同时还要保持原有的日志模式。
检测操作步骤
1.判定条件
检测/etc/bind/named.conf文件中是否有如下内容:
logging{
……
}
2.补充操作说明
基线符合性判定依据
1.参考配置操作
在/etc/bind/named.conf文件中增加如下内容:
channelmy_security_channel{
file"
my_security_file.log"
versions3size20m;
severityinfo;
};
categorysecurity{
my_security_channel;
default_syslog;
default_debug;
其中my_security_channel是用户自定义的channel名字,my_security_file.log是安全事件日志文件,可包含全路径(否则是以named进程工作目录为当前目录)。
安全事件日志文件名为my_security_file.log,保存三个最近的备份(my_security_file.log0、my_security_file.log1、my_security_file.log2),日志文件的最大容量为20MB(如果达到或超这一数值,直到该文件被再次打开前,将不再记录任何日志消息。
缺省(省略)时是没有大小限制。
)
备注
第3章协议安全要求
3.1防攻击管理
3.1.1隐藏BIND版本信息
隐藏BIND版本信息安全基线要求项
SBL-BIND-03-01-01
通过DNS服务查询BIND版本号时,返回隐藏后的信息BIND版本信息。
version"
Whoknows?
"
;
2.判定条件
如果通过DNS服务查询BIND版本号时,返回的信息就是"
。
第4章其他安全要求
4.1其他安全配置
4.1.1禁止DNS域名递归查询*
禁止DNS域名递归查询安全基线要求项
SBL-BIND-04-01-01
针对非递归服务器,要禁止DNS域名递归查询,在options(或特定zone区域)中增加。
recursionno;
fetch-glueno;
在/etc/bind/named.conf文件中的options(或特定的zone区域)节中增加:
2.判定条件
防止了DNS域名递归查询。
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
4.1.2增加查询ID的随机性
增加查询ID的随机性安全基线要求项
SBL-BIND-04-01-02
服务器将跟踪其出站查询ID值以避免出现重复,并增加随机性。
检测/etc/bind/named.conf文件的options节中是否有如下内容:
use-id-poolno
在/etc/bind/named.conf文件中的options节中增加如下内容:
use-id-poolyes
这将会使服务器多占用超过128KB内存。
(缺省值为no)
4.1.3限制域名查询*
限制域名查询安全基线要求项
SBL-BIND-04-01-03
要限制对DNS服务器进行域名查询的主机
allow-query{<
address_match_list>
address_match_list是允许进行域名查询的主机IP列表,如"
1.2.3.4;
5.6.7/24;
在/etc/bind/named.conf文件的options(或特定的zone区域)节中增加:
4.1.4限制域名递归查询*
限制域名递归查询安全基线要求项
SBL-BIND-04-01-04
要限制对DNS服务器进行域名递归查询的主机
allow-recursion{<
address_match_list是允许进行域名递归查询的主机IP列表,如"
4.1.5指定动态DNS更新主机*
指定动态DNS更新主机安全基线要求项
SBL-BIND-04-01-05
缺省时为拒绝所有主机的提交动态DNS更新主机,我们可以根据需要指定允许哪些主机向本DNS服务器提交动态DNS更新。
allow-update{<
address_match_list是允许向本DNS服务器提交动态DNS更新的主机IP列表,如"
4.1.6限制对DNS服务器进行区域记录传输的主机*
限制对DNS服务器进行区域记录传输的主机安全基线要求项
SBL-BIND-04-01-06
要限制对DNS服务器进行区域记录传输的主机。
allow-transfer{<
address_match_list是允许进行区域记录传输的主机IP列表,如"
在/etc/bind/named.conf文件的options(或特定的zone区域)节中增加:
4.1.7指定不接受区域请求*
指定不接受区域请求安全基线要求项
SBL-BIND-04-01-07
要指定不接受哪些服务器的区域记录传输请求
blackhole{<
a
升级会员 