Hallo zusammen, ich bin vor einiger Zeit von PowerDNS auf Bind9 gewechselt. Nun erhalte ich von Telekom einen Brief, in dem unter anderem steht:
.. von Sicherheitsexperten haben wir Hinweise erhalten, welche Ihren Internetzugang betreffen. An Ihrem Zugang ist ein offener 'Domain Name System' (DNS) Server aktiv, der von Dritten für Angriffe missbraucht werden könnte. Bei Internetzugängen von Privatnutzern ist es fast immer der Router, der eine solche Schwachstelle aufweist.
Nun ist klar, ja der Port 53 TCP/UDP an meiner FritzBox ist offen und geht an meinen DNS-Server (Bind9) der als Docker-Container läuft. Jedoch Frage ich mich nun, ob meine Konfiguration falsch ist und er eventuell von Dritten missbraucht werden könnte, sowie es in dem Brief steht.
Dazu hier mal meine named.conf.options
.
options { directory "/etc/bind"; forwarders { // Google 8.8.8.8; 8.8.4.4; 2001:4860:4860::8888; 2001:4860:4860::8844; }; // Server Addresses which this server accept notifications from. // For example, it's often ip addresses from zone master servers. allow-notify { none; }; // Allows the clients to query the zones that your server is authoritative for allow-query { 0.0.0.0/0; ::/0; }; // Allows them to query the data that's in the cache due // to some client previously requesting recursion allow-query-cache { 0.0.0.0/0; ::/0; }; // Allows Clients to request recursion, which is needed to look up names in remote zones allow-recursion { // localhost 127.0.0.1/32; ::1/128; //All //0.0.0.0/0; //::/0; }; recursion yes; allow-transfer { none; }; allow-update { none; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-validation auto; auth-nxdomain no; # conform to RFC1035 listen-on { any; }; listen-on-v6 { any; }; };
Habe ich den Bind9-Server fehlerhaft Konfiguriert, sodass ein Missbrauch möglich ist? Wenn ja, was müsste ich ändern?
Viele Grüße Volker