10 Pethau ddylech ei wybod am Sicrhau DNS

DNS Diogelwch

10 Pethau ddylech ei wybod am Sicrhau DNS

Awdur: anuj

1. Defnyddiwch hanfonwyr ymlaen DNS
Mae forwarder DNS yn weinydd DNS sy'n perfformio ymholiadau DNS ar ran gweinydd DNS arall. Y prif resymau i ddefnyddio forwarder DNS yn cael eu i ddadlwytho dyletswyddau prosesu gan y gweinydd DNS anfon yr ymholiad at y forwarder ac i fanteisio ar y cache DNS a allai fod yn fwy ar y forwarder DNS.

Mantais arall o ddefnyddio forwarder DNS yw ei fod yn atal y gweinydd DNS anfon y ceisiadau gan ryngweithio gyda gweinyddwyr DNS Rhyngrwyd. Mae hyn yn arbennig o bwysig pan fydd eich gweinydd DNS yn cynnal eich cofnodion adnoddau DNS parth mewnol. Yn hytrach na chaniatáu eich gweinyddwyr DNS mewnol i berfformio recursion a chysylltu â DNS gweinyddwyr hun, ffurfweddu'r gweinydd DNS mewnol i ddefnyddio forwarder ar gyfer pob parth lle nad yw'n awdurdodol.

2. Defnyddiwch gweinyddwyr DNS caching-unig
Mae gweinyddwr DNS caching-unig yn un nad yw'n awdurdodol ar gyfer unrhyw barthau DNS. Mae'n ffurfweddu i berfformio recursion neu ddefnyddio forwarder. Pan fydd y gweinyddwr DNS caching-yn-unig yn cael ymateb, mae'n storio y canlyniad ac yn dychwelyd yr ateb i'r system gyhoeddi yr ymholiad DNS i caching-unig gweinydd DNS. Dros amser, Gall y caching-unig gweinydd DNS hel cache fawr o ymatebion DNS, a all wella yn sylweddol amserau ymateb DNS ar gyfer cleientiaid DNS hwnnw caching-unig gweinydd DNS.

Gall gweinyddwyr DNS Caching-unig yn gwella diogelwch ar gyfer eich sefydliad pan gaiff ei ddefnyddio fel hanfonwyr ymlaen sydd o dan eich rheolaeth weinyddol. Gall gweinyddwyr DNS mewnol yn cael ei ffurfweddu i ddefnyddio caching-unig gweinydd DNS wrth i'w hanfonwyr ymlaen a 'r gweinyddwr DNS caching-yn-unig yn perfformio recursion ar ran eich gweinyddwyr DNS mewnol. Gan ddefnyddio eich gweinyddwyr DNS caching yn unig eu hunain fel hanfonwyr ymlaen yn gwella diogelwch oherwydd nad oes rhaid i chi yn dibynnu ar eich gweinyddwyr DNS ISP fel hanfonwyr ymlaen pan nad ydych yn siŵr o ddiogelwch chyfluniad DNS gweinyddwyr eich ISP.

3. Defnyddiwch hysbysebwyr DNS
Mae hysbysebwr DNS yn weinydd DNS sy'n datrys ymholiadau ar gyfer parthau y mae gan y hysbysebwr DNS yn awdurdodol. Er enghraifft, os ydych yn cynnal adnoddau sydd ar gael i'r cyhoedd ar gyfer domain.com a corp.com, Byddai eich gweinydd DNS cyhoeddus yn cael ei ffurfweddu gyda ffeiliau parth DNS ar gyfer yr domain.com a corp.com parthau.

Yr hyn sy'n gosod yr hysbysebwr DNS ar wahân i unrhyw weinydd DNS arall hosting ffeiliau parth DNS yw bod yr hysbysebwr DNS ateb ymholiadau yn unig ar gyfer parthau y mae'n awdurdodol. Ni fydd y gweinydd DNS perfformio recursion ar gyfer ymholiadau i DNS gweinyddwyr eraill. Mae hyn yn atal defnyddwyr rhag defnyddio eich gweinydd DNS cyhoeddus i ddatrys enwau mewn parthau eraill. Mae hyn yn cynyddu diogelwch trwy leihau'r risgiau sy'n gysylltiedig â rhedeg resolver DNS cyhoeddus, sy'n cynnwys gwenwyn cache.

4. Defnyddiwch resolvers DNS
Mae resolver DNS yn weinydd DNS sy'n gallu perfformio recursion i ddatrys enwau ar gyfer parthau lle nad yw gweinydd DNS yn awdurdodol. Er enghraifft, efallai y bydd gennych gweinydd DNS ar eich rhwydwaith mewnol sy'n awdurdodol ar gyfer eich parth rhwydwaith mewnol, internalcorp.com. Pan fydd cleient ar eich rhwydwaith yn defnyddio y gweinydd DNS i ddatrys yr enw techrepublic.com, y gweinydd DNS perfformio recursion drwy ymholi'r DNS gweinyddwyr eraill i gael yr ateb.

Y gwahaniaeth rhwng y gweinydd DNS a resolver DNS yw bod resolver DNS yn weinydd DNS sy'n ymroddedig i ddatrys enwau gwesteiwr Rhyngrwyd. Gallai resolver fod yn caching-unig gweinydd DNS sydd ddim yn awdurdodol ar gyfer unrhyw barthau DNS. Gallwch wneud y resolver DNS sydd ar gael i dim ond eich defnyddwyr mewnol, gallwch ei wneud yn ar gael yn unig i'ch defnyddwyr allanol i ddarparu dewis amgen diogel i ddefnyddio gweinydd DNS tu hwnt i'ch rheolaeth weinyddol, neu gallwch ganiatáu defnyddwyr mewnol ac allanol gael mynediad i'r resolver DNS.

5. Diogelu DNS rhag llygredd cache
llygredd cache DNS yn broblem gynyddol gyffredin. Mae'r rhan fwyaf o gweinyddwyr DNS yn gallu cache canlyniadau ymholiadau DNS cyn anfon yr ymateb at y gwesteiwr cyhoeddi yr ymholiad. Gall y storfa DNS gwella perfformiad ymholiad DNS yn sylweddol drwy gydol eich sefydliad. Y broblem yw, os y cache DNS gweinyddwr yn “llygredig” gyda chofnodion DNS ffug, Gall defnyddwyr wedyn yn cael ei anfon i safleoedd gwe maleisus yn hytrach na'r safleoedd y maent yn bwriadu ymweld.

Gall y rhan fwyaf DNS gweinyddwyr yn cael ei ffurfweddu i atal llygredd cache. Mae'r Gweinyddwr Ffenestri 2003 gweinydd DNS wedi ei ffurfweddu i atal llygredd cache ddiofyn. Os ydych yn defnyddio Windows 2000 gweinydd DNS, gallwch ffurfweddu i atal llygredd cache drwy agor y blwch deialog Priodweddau ar gyfer y gweinydd DNS a chlicio ar y tab Advanced. Dewiswch y blwch gwirio Llygredd Atal Cache a restart 'r gweinydd DNS.

6. Galluogi DDNS gyfer cysylltiadau diogel yn unig
Mae llawer o gweinyddwyr DNS yn derbyn diweddariadau deinamig. Y nodwedd diweddaru deinamig yn galluogi gweinyddwyr DNS yma i gofrestru enwau gwesteiwr DNS a cyfeiriadau IP am westeiwyr sy'n defnyddio DHCP ar gyfer IP gwesteiwr mynd i'r afael. Gall DDNS fod yn hwb mawr i leihau'r gorbenion gweinyddol ar gyfer gweinyddwyr DNS a fyddai angen i ffurfweddu cofnodion adnoddau DNS llaw am westeiwyr hyn fel arall.

Fodd bynnag, gall fod yn fater diogelwch o bwys gyda diweddariadau DDNS os ydynt yn cael unchecked. Gall defnyddiwr maleisus ffurfweddu llu i ddiweddaru cofnodion cynnal DNS o weinydd ffeil ddeinamig, gweinydd gwe, neu weinydd cronfa ddata ac mae ganddynt gysylltiadau y dylid eu dynghedu i gweinyddwyr rhai ddargyfeirio at ei beiriant yn lle y targed a fwriadwyd.

Gallwch leihau'r risg o ddiweddariadau DNS maleisus drwy fynnu cysylltiadau diogel i'r gweinyddwr DNS er mwyn perfformio y diweddariad deinamig. Cyflawnir hyn yn hawdd drwy ffurfweddu eich gweinydd DNS i ddefnyddio Active Directory parthau integredig ac a oedd angen diweddariadau deinamig diogel. Bydd pob aelod parth yn gallu diweddaru eu gwybodaeth DNS ddynamig mewn cyd-destun diogel ar ôl i chi wneud y newid hwn.

7. trosglwyddiadau parth Analluogi
trosglwyddiadau parth yn digwydd rhwng gweinyddwyr DNS cynradd ac uwchradd. gweinyddwyr DNS cynradd sy'n awdurdodol ar gyfer parthau penodol yn cynnwys ffeiliau parth DNS ysgrifenadwy sy'n cael eu diweddaru yn ôl yr angen. Derbyniodd gweinyddwyr DNS Uwchradd copi darllen yn unig o ffeiliau parth hyn o'r gweinyddwyr DNS cynradd. DNS gweinyddwyr uwchradd yn cael eu defnyddio at berfformiad gwell ymholiad DNS drwy'r sefydliad neu dros y Rhyngrwyd.

Fodd bynnag, Nid yw trosglwyddiadau parth yn cael eu cyfyngu i DNS gweinyddwyr uwchradd yn unig. Gall unrhyw un roi ymholiad DNS a fydd yn achosi gweinydd DNS ffurfweddu i ganiatáu trosglwyddo parth i adael y cyfan o'i ffeiliau gronfa ddata parth. Gall defnyddwyr maleisus ddefnyddio'r wybodaeth hon i reconnoiter sgema enwi yn eich sefydliad ac ymosod gwasanaethau seilwaith allweddol. Gallwch atal hyn drwy ffurfweddu eich gweinyddwyr DNS i wadu ceisiadau trosglwyddo parth neu drwy ffurfweddu gweinyddion DNS i ganiatáu trosglwyddo parth yn unig i gweinyddwyr penodol yn y sefydliad.

8. Defnyddiwch waliau tân i reoli mynediad DNS
Gellir Muriau gwarchod yn cael ei ddefnyddio i ennill rheolaeth mynediad dros pwy all gysylltu eich gweinyddwyr DNS. Ar gyfer gweinyddwyr DNS sy'n cael eu defnyddio yn unig ar gyfer ymholiadau cleientiaid mewnol, ffurfweddu waliau tân i atal cysylltiadau o westeiwyr allanol i DNS gweinyddwyr rheini. Ar gyfer gweinyddwyr DNS defnyddio fel hanfonwyr ymlaen caching-unig, ffurfweddu waliau tân i ganiatáu i ymholiadau DNS yn unig o weinyddion DNS hynny sy'n defnyddio'r hanfonwyr ymlaen caching-unig. Lleoliad polisi firewall arbennig o bwysig yw i rwystro defnyddwyr mewnol rhag defnyddio'r protocol DNS i gysylltu â gweinyddwyr DNS allanol.

9. Gosod rheolaethau mynediad ar gofnodion gofrestrfa DNS
Ar weinyddion DNS Windows sy'n seiliedig ar, dylech ffurfweddu rheolaethau mynediad ar leoliadau Registry sy'n gysylltiedig â gweinydd y DNS fel mai dim ond y cyfrifon sydd angen mynediad iddynt caniateir i ddarllen neu newid gosodiadau Gofrestrfa rheini.

Mae'r HKLM CurrentControlSet Gwasanaethau dylid allwedd DNS cael ei ffurfweddu i ganiatáu dim ond y Gweinyddwr a cyfrif System mynediad, a dylai cyfrifon hyn gael caniatâd Rheoli Llawn.

10. rheoli mynediad Set ar gofnodion ffeil system DNS
Ar weinyddion DNS Windows sy'n seiliedig ar, dylech ffurfweddu rheolaethau mynediad ar y DNS cofnodion ffeil system sy'n gysylltiedig â gweinydd fel mai dim ond y cyfrifon sydd angen mynediad iddynt caniateir i ddarllen neu newid rhai ffeiliau.

Dylai'r% system_directory% folder DNS a is-ffolderi yn cael eu ffurfweddu i ganiatáu dim ond y cyfrif system i gael mynediad i'r ffeiliau, a dylai'r cyfrif system yn cael ei roi caniatâd Rheoli Llawn

Erthygl Ffynhonnell: http://www.articlesbase.com/operating-systems-articles/10-things-you-should-know-about-securing-dns-3071533.html

Am y Awdur

Anuj Sharma(Gweinyddwr y system)

http://www.winservers.co.in

Ad a Ateb

Ni fydd eich cyfeiriad e-bost yn cael ei gyhoeddi. Meysydd gofynnol yn cael eu marcio *