J'ai récemment échoué à une analyse de conformité PCI à cause de ce qui suit :
Ce serveur DNS permet des transferts de zone sans restriction. Les attaquants peuvent être d'utiliser ces informations pour connaître la structure de vos réseaux et vos réseaux pour faciliter la découverte de périphériques avant une attaque réelle.
Et la solution proposée est la suivante :
Reconfigurez ce serveur DNS pour restreindre les transferts de zone à certains serveurs autorisés uniquement.
J'utilise un serveur Linux Centos dédié.
Si je comprends bien, je dois modifier le fichier /etc/named.conf, ce que j'ai fait et la partie concernée est la suivante :
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};J'ai ensuite redémarré le service nommé /etc/rc.d/init.d/named restart et a demandé un re-scan, qui a échoué à nouveau pour la même raison.
Est-ce que je rate quelque chose d'évident ici ?
