Menonaktifkan Open DNS Server BIND

Beberapa waktu lalu, tim abuse dari salah satu penyedia VPS (Virtual Private Server) yang saya gunakan meneruskan email komplain ke saya terkait dengan digunakannya server VPS saya sebagai reflektor serangan DDoS ke server di Eropa. Setelah saya cek, ternyata ada settingan di konfigurasi BIND DNS yang lupa saya tutup. Ceritanya, saya sedang menulis buku terkait Vulnerability Assessment dan juga untuk membuat bahan presentasi terkait pengujian penetrasi sistem, yaitu bagaimana melakukan transfer zone DNS dari domain target atau victim. Setelah selesai membuat screenshoot terkait permasalahan tersebut, saya lupa mengembalikan konfigurasi ke semula.
Untuk Anda yang menangani atau menjadi sysadmin dari sebuah DNS server khususnya BIND, pastikan bahwa konfigurasi DNS BIND server anda sudah aman, jika lupa bagaimana membuat supaya orang lain tidak menggunakan DNS server kita sebagai reflektor DDoS, silahkan tambahkan 3 baris berikut dibagian options:

options {
...
...
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
...
...
};

Tetapi jika ternyata DNS BIND server anda digunakan juga untuk resolver bagi user internal di jaringan maka bisa ditambahkan konfigurasi berikut:

acl "internal" { 127.0.0.1/32; 192.168.32.0/24; };
options {
...
...
allow-transfer {"none";};
allow-recursion {"internal";};
recursion no;
...
...
};

Asumsi IP di lokal jaringan anda adalah 192.168.32.0/24.

Dan jika DNS BIND server digunakan sebagai primary DNS domain anda, maka konfigurasi bisa dibuat menjadi:

acl "secondary" { 127.0.0.1/32; 202.155.1.2/32; };
options {
...
...
allow-transfer {"secondary";};
allow-recursion {"none";};
recursion no;
...
...
};

Asumsi IP DNS Secondary domain anda adalah 202.155.1.2.

Demikian tips ini saya bagikan, semoga bermanfaat.

About Kalpin Erlangga Silaen

Suka membaca
This entry was posted in IT, Security, Tips and Tricks. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

 

This site uses Akismet to reduce spam. Learn how your comment data is processed.