10 Lucrurile trebuie să știți despre securizarea Dns

10 Lucrurile trebuie să știți despre securizarea Dns

Autor: anuj

1. Utilizați transportoare DNS
Un expeditor DNS este un server DNS care efectuează interogări DNS în numele altui server DNS. Motivele principale pentru a utiliza un expeditor DNS sunt să scape de taxele de procesare de la serverul DNS transmiterea interogare pentru expeditor și de a beneficia de cache DNS potențial mai mare pe expeditor DNS.

Un alt beneficiu de a folosi un expeditor de DNS este că acesta împiedică serverul DNS transmiterea cererilor de la interactiunea cu serverele DNS Internet. Acest lucru este deosebit de important atunci când serverul DNS este ce gazduieste înregistrările de resurse de domeniu intern DNS. In loc de a permite serverelor DNS interne pentru a efectua recursivitate și contactarea în sine serverele DNS, configurați serverul DNS intern pentru a utiliza un expeditor pentru toate domeniile pentru care nu este autoritate.

2. Utilizează servere DNS numai în cache
Un server DNS numai în cache este una care nu este autoritate pentru orice domenii DNS. Este configurat pentru a efectua recursivitate sau de a folosi un expeditor. În cazul în care serverul DNS numai în cache primește un răspuns, ea pune în cache rezultatul și returnează răspunsul la sistemul care emite interogarea DNS la cache-ul numai serverul DNS. Peste orar, cache-numai serverul DNS poate acumula un cache mare de răspunsuri DNS, care pot îmbunătăți în mod semnificativ timpii de răspuns DNS pentru clienții DNS al acelui server DNS numai în cache.

Serverele DNS numai cashingul poate îmbunătăți securitatea pentru organizația dumneavoastră atunci când sunt utilizate ca transportoare care se afla sub control administrativ. Serverele DNS interne pot fi configurate pentru a utiliza serverul DNS numai cashingul ca expeditorii lor și serverul DNS numai în cache efectuează recursivitate în numele serverelor DNS interne. Folosind propriile servere DNS numai cashingul ca expeditorii îmbunătățește securitatea, deoarece nu trebuie să depindă de serverele DNS ISP ca expeditorii când nu sunteți sigur de configurația de securitate a serverelor DNS ISP-ul dvs..

3. Utilizați agenții de publicitate DNS
Un agent de publicitate DNS este un server DNS care rezolvă interogări pentru domenii pentru care agentul de publicitate DNS este autoritate. De exemplu, dacă găzduiți resursele disponibile în mod public pentru domain.com și corp.com, serverul dvs. public DNS ar fi configurat cu fișierele zonei DNS pentru domeniile domain.com și corp.com.

Ce seturi de agentul de publicitate DNS în afară de orice alt server DNS hosting fișierele zonei DNS este faptul că agentul de publicitate DNS răspunde interogări numai pentru domeniile pentru care este autoritate. Serverul DNS nu va efectua recursivitate pentru interogări către alte servere DNS. Acest lucru împiedică utilizatorii să utilizeze serverul DNS publice pentru a rezolva numele în alte domenii. Acest lucru sporește securitatea prin diminuarea riscurilor asociate cu funcționarea unui modul DNS publice, care includ cache poisoning.

4. Utilizați DNS resolvers
Un DNS este un server DNS, care poate efectua recursivitate pentru a rezolva numele de domenii pentru care serverul DNS nu este autoritate. De exemplu, s-ar putea avea un server DNS pe rețeaua internă care este autoritate pentru domeniul dvs. de rețea internă, internalcorp.com. Atunci când un client în rețeaua utilizează acel server DNS pentru a rezolva numele techrepublic.com, că serverul DNS efectuează recursie interogând alte servere DNS pentru a obține răspunsul.

Diferența dintre acest server DNS și un DNS este că un DNS este un server DNS care este dedicat pentru rezolvarea cu nume de gazde pe Internet. Un rezolvitor ar putea fi o doar în cache server DNS care nu este autoritate pentru orice domenii DNS. Puteți face DNS resolver disponibil numai utilizatorilor interni, puteți face disponibilă numai pentru utilizatorii externi pentru a oferi o alternativă sigură la folosirea unui server DNS în afara controlului dvs. administrativ, sau vă puteți permite atât utilizatorilor interni și externi acces la DNS resolver.

5. Proteja DNS de poluare a memoriei cache
Poluarea memoriei cache DNS este o problemă din ce în ce comună. Cele mai multe servere DNS sunt capabile să cache rezultatele interogări DNS înainte de a transmite răspunsul la gazdă care emite interogarea. Cache-ul DNS poate îmbunătăți semnificativ performanța interogare DNS în întreaga organizație. Problema este că, în cazul în care cache-ul serverului DNS este “viciat” cu intrările DNS false, utilizatorii pot fi ulterior transmise site-uri web periculoase în loc de site-uri care intenționează să viziteze.

Cele mai multe servere DNS pot fi configurate pentru a preveni poluarea memoriei cache. Windows Server 2003 Serverul DNS este configurat pentru a preveni poluarea memoriei cache în mod implicit. Dacă utilizați un Windows 2000 DNS server, aveți posibilitatea să-l configurați pentru a preveni poluarea cache-ului prin deschiderea casetei de dialog Proprietăți pentru serverul DNS și făcând clic pe fila Complex. Selectați caseta de selectare a poluării Prevenirea Cache și reporniți serverul DNS.

6. Activați DDNS pentru conexiuni sigure numai
Mai multe servere DNS acceptă actualizări dinamice. Caracteristica de actualizare dinamică permite aceste servere DNS pentru a înregistra nume de gazdă DNS și adresele IP pentru host-urile care folosesc DHCP pentru IP-gazdă adresare. DDNS poate fi un mare avantaj în reducerea supraincarcarii administrative pentru administratorii DNS, care altfel ar trebui să configurați manual înregistrările de resurse DNS pentru aceste gazde.

in orice caz, poate exista o problemă de securitate majoră cu actualizări DDNS în cazul în care acestea sunt permise neverificată. Un utilizator rău intenționat poate configura o gazdă pentru a actualiza în mod dinamic înregistrările gazdă DNS ale unui server de fișiere, server de web, sau serverul de baze de date și au legături care ar trebui să fie destinate acelor servere deviate de la terminalul său în loc de ținta dorită.

Puteți reduce riscul de actualizări DNS rău intenționate prin care necesită conexiuni securizate cu serverul DNS, în scopul de a realiza actualizarea dinamică. Acest lucru este ușor de realizat prin configurarea serverului DNS pentru a utiliza Active Directory zone integrate și care necesită actualizări dinamice sigure. Toți membrii de domeniu vor fi în măsură să actualizeze dinamic informațiile DNS într-un context securizat după ce face această schimbare.

7. transfer de zona de dezactivare
Transferurile din zona au loc între serverele DNS primar și secundar. Serverele DNS primare care sunt cu autoritate pentru domenii specifice conțin fișiere inscriptibil zonei DNS care sunt actualizate în funcție de necesități. Serverele DNS secundar a primit o copie numai citire a acestor fișiere din zona de la serverele DNS primar. Serverele DNS secundare sunt utilizate pentru îmbunătățirea performanței de interogare DNS de-a lungul unei organizații sau prin Internet.

in orice caz, Transferurile din zona nu sunt limitate doar la serverele DNS secundare. Oricine se poate emite o interogare DNS care va determina un server DNS configurat pentru a permite transfer de zona să arunce totalitatea fișierelor sale de bază de date zonale. Utilizatorii rău intenționate pot utiliza această informație pentru a iscodi schema de numire în organizația dumneavoastră și să atace serviciile cheie de infrastructura. Puteți preveni acest lucru prin configurarea serverelor DNS pentru a refuza cererile de transfer zonă sau prin configurarea serverelor DNS pentru a permite transferuri zonale numai la anumite servere din organizație.

8. Utilizați firewall-uri pentru a controla accesul DNS
Firewall-urile pot fi folosite pentru a obține controlul accesului peste care se poate conecta la serverele DNS. Pentru serverele DNS utilizate numai pentru interogări de client intern, configurați firewall-uri pentru a bloca conexiuni de la gazde externe la acele servere DNS. Pentru serverele DNS folosite ca expeditorii numai cashingul, configurați firewall-uri pentru a permite interogări DNS numai la acele servere DNS care utilizează expeditorilor numai cashingul. O setare deosebit de important pentru politica firewall este de a bloca utilizatorii interni să utilizeze protocolul DNS pentru a se conecta la serverele DNS externe.

9. Setați controalele de acces pe intrările de registry DNS
Pe serverele DNS bazate pe Windows, ar trebui să configurați controalele de acces la setările de registry legate de server DNS, astfel încât numai conturile care necesită acces la acestea li se permite să citească sau să modificați aceste setări de registry.

HKLM CurrentControlSet Services cheie DNS ar trebui să fie configurat pentru a permite numai administratorul și contul de sistem de acces, iar aceste conturi ar trebui să aibă permisiuni de control.

10. control acces Setare la intrări de sistem de fișiere DNS
Pe serverele DNS bazate pe Windows, ar trebui să configurați controalele de acces la intrările de sistem de fișiere legate de server DNS, astfel încât numai conturile care necesită acces la acestea li se permite să citească sau să schimbe acele fișiere.

% System_directory% folderul DNS și subfolderele ar trebui să fie configurat pentru a permite doar contul de sistem pentru a accesa fișierele, și contul de sistem ar trebui să se acorde permisiuni de control

articolul Sursa: http://www.articlesbase.com/operating-systems-articles/10-things-you-should-know-about-securing-dns-3071533.html

Despre autor

anuj Sharma(Administrator de sistem)

http://www.winservers.co.in

lasa un raspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate *