Cómo ocultar la versión de Bind

BIND (Berkeley Internet Name Domain, anteriormente : Berkeley Internet Name Daemon) es el servidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los cuales es un standard de facto.

Independientemente de que esta no sea la panacea para evitar un ataque a un servidor DNS, siempre es recomendable ocultar toda la información que sea posible sobre versiones de servicios instalados en una máquina, y por supuesto siempre es recomendable mantener el servicio a la última versión estable.

Para ocultar la versión de Bind, debemos editar el fichero de configuración named.conf:

$ vi /etc/named.conf

Añadiremos la siguiente línea (con el texto que os apetezca) dentro de la sección de opciones:

options {
version "Seguramente estas bromeando";
}

Reiniciamos named y ya debería aparecer enmascarada la versión de Bind:

service named restart

o

/etc/init.d/named restart

Podemos testearlo así:

$ dig @servidordns version.bind txt chaos

; <<>> DiG 9.4.2 <<>> @xxxxx version.bind txt chaos
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33774
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;version.bind.			CH	TXT

;; ANSWER SECTION:
version.bind.		0	CH	TXT	"Seguramente estas bromeando"

;; Query time: 247 msec
;; SERVER: xx.xx.xx.xx#53(xx.xx.xx.xx)
;; WHEN: Mon Sep  1 22:55:41 2008
;; MSG SIZE  rcvd: 70