Le fait d'utiliser un même démon bind pour faire un serveur DNS faisant autorité et un résolveur posent les mêmes problèmes de sécurité qu'en séparant les deux rôles.
La « sécurité » que tu as l'air d'évoquer rejoint plutôt la sensibilité de ta configuration à des attaques de type DOS. Cela n'est pas en soi un problème de sécurité mais de disponibilité, de fiabilité, et de bon comportement de ton serveur sur l'internet.
Si tu veux sécuriser ton serveur, je te conseille de commencer par lire le chapitre sur la sécurité du livre « DNS and BIND » par Cricket Liu et Paul Albitz chez O'Reilly qui est bien fait.
[^] # Re: Séparation autoritaire / récursif
Posté par poiuy . En réponse au message Séparation autoritaire / récursif. Évalué à 1.
Le fait d'utiliser un même démon bind pour faire un serveur DNS faisant autorité et un résolveur posent les mêmes problèmes de sécurité qu'en séparant les deux rôles.
La « sécurité » que tu as l'air d'évoquer rejoint plutôt la sensibilité de ta configuration à des attaques de type DOS. Cela n'est pas en soi un problème de sécurité mais de disponibilité, de fiabilité, et de bon comportement de ton serveur sur l'internet.
Si tu veux éviter les attaques DOS, je te conseille de commencer par lire ces liens :
http://www.bortzmeyer.org/dns-attaque-ns-point.html
http://www.cymru.com/Documents/secure-bind-template.html
Note : tu constateras qu'un serveur DNS, même correctement configuré, continue de participer à une attaque par amplification en envoyant tout de même une réponse de type REFUSED/SERVFAIL.
La configuration devient alors plus complexe, je te renvoie à ce genre de lien pour commencer :
http://www.mill-yard.com/2013/07/centos-bind-blocking-dns-reflection-or-amplification-ddos-attacks-using-recursive-dns-lookups/
Si tu veux sécuriser ton serveur, je te conseille de commencer par lire le chapitre sur la sécurité du livre « DNS and BIND » par Cricket Liu et Paul Albitz chez O'Reilly qui est bien fait.