10 事情你應該知道關於保護DNS

DNS安全

10 事情你應該知道關於保護DNS

作者: anuj發表

1. 使用DNS轉發器
DNS轉發器是執行代表其他DNS服務器的DNS查詢的DNS服務器. 主要的原因使用DNS轉發器是從DNS服務器轉發查詢到卸載處理職責 轉發並從對DNS轉發器潛在地更大DNS高速緩存中受益.

使用DNS轉發器的另一個好處是,它可以防止在DNS服務器將請求轉發從與因特網的DNS服務器進行交互. 這一點尤其重要,當你的DNS服務器託管您的內部域DNS資源記錄. 而不是讓你的內部DNS服務器進行遞歸和聯繫DNS服務器本身, 配置內部DNS服務器使用轉發器,這就是它不具有權威性的所有域.

2. 使用只緩存DNS服務器
一個只緩存DNS服務器是一個不權威的任何DNS域. 它的配置來執行遞歸或者使用轉發器. 當只緩存DNS服務器接收到響應, 它緩存的結果,然​​後返回答案到系統發出的DNS查詢,只緩存DNS服務器. 隨著時間的推移, 只緩存DNS服務器可以聚斂的DNS響應的大緩存, 它可以顯著提高的DNS響應時間的只緩存DNS服務器的DNS客戶端.

只緩存DNS服務器可以提高安全性為您的組織作為轉發器是在你的管理控制使用時,. 內部DNS服務器可以配置為使用只緩存DNS服務器作為他們的代理和緩存專用的DNS服務器代表你的內部DNS服務器進行遞歸. 使用你自己的只緩存DNS服務器作為轉發器提高了安全性,因為你不需要依賴你的ISP的DNS服務器作為轉發器,當你不確定你的ISP的DNS服務器的安全配置.

3. 使用DNS廣告
一個DNS廣告者是一台DNS服務器解析域名查詢的到的DNS廣告者是權威. 例如, 如果您的主機公開可用的資源domain.com和corp.com, 你的公共DNS服務器將與DNS區域文件被配置為domain.com和corp.com域名.

什麼設置的DNS廣告除了託管DNS區域文件的任何其他DNS服務器的DNS廣告者只回答對域的查詢,這就是它的權威. DNS服務器不會為查詢其他DNS服務器進行遞歸. 這樣可以防止用戶使用你的公共DNS服務器在其他域解析名稱. 這通過減少與運行一個公開DNS解析相關的風險增加了安全性, 其中包括緩存中毒.

4. 使用DNS解析器
一個DNS解析器是可以執行遞歸解析名稱的域,作為該DNS服務器是不是權威DNS服務器. 例如, 你可能有一個DNS服務器的內部網絡,它是權威的為您的內部網絡域上, internalcorp.com. 當您的網絡上的客戶端使用的DNS服務器來解析名稱techrepublic.com, 該DNS服務器遞歸通過查詢其他DNS服務器得到的答案進行.

這台DNS服務器和DNS解析器之間的區別在於,一個DNS解析器是專門為解決Internet主機名的DNS服務器. 解析器可能是一個只緩存DNS服務器是不是權威的任何DNS域. 你可以讓DNS解析只提供給內部用戶, 你可以只有它提供給外部用戶提供一個安全的替代品使用的DNS服務器的管理控制之外, 或者你可以讓內部和外部用戶訪問的DNS解析器.

5. 從緩存污染保護DNS
DNS緩存污染是一個越來越常見的問題. 大多數DNS服務器都能夠轉發響應主機發出查詢之前緩存DNS查詢的結果. DNS緩存可在整個組織內顯著改善的DNS查詢性能. 問題是,如果DNS服務器高速緩存是 “污” 用偽造的DNS條目, 用戶可以隨後被轉發到惡意網站,而不是他們打算訪問的網站.

大多數DNS服務器可以被配置為防止緩存污染. 在Windows Server 2003 DNS服務器被配置為防止緩存污染默認. 如果你使用的是Windows 2000 DNS服務器, 你可以配置它,以防止緩存污染通過打開的屬性對話框中的DNS服務器,然後單擊高級選項卡. 選擇防止緩存污染複選框,然後重新啟動DNS服務器.

6. 啟用DDNS的安全連接只
很多DNS服務器接受動態更新. 動態更新特性使這些DNS服務器來註冊使用DHCP的主機的IP地址的主機的DNS主機名和IP地址. DDNS可以在降低管理開銷的DNS管理員,否則誰也需要對這些主機進行手動配置DNS資源記錄的一大福音.

然而, 不能與DDNS更新一個重大的安全問題,如果他們被允許未選中. 惡意用戶可以配置主機動態更新文件服務器的DNS主機記錄, Web服務器, 或數據庫服務器,並有應往,而不是預期的目標轉移到他的機器這些服務器的連接.

您可以要求到DNS服務器安全連接,以進行動態更新減少惡意DNS升級的風險. 這是很容易配置你的DNS服務器使用Active Directory集成的區域,並要求安全動態更新實現. 所有域成員將能夠在一個安全的上下文來動態更新他們的DNS信息進行此更改後,.

7. 禁止區域傳輸
區域傳輸採取主從DNS服務器之間的地方. 主DNS服務器具有權威性的特定域包含在需要時更新可寫的DNS區域文件. 輔助DNS服務器接收這些區域文件的只讀副本從主DNS服務器. 備用DNS服務器被用於提高DNS查詢的性能在整個組織或在互聯網上.

然而, 區域傳輸並不只限於輔助DNS服務器. 任何人都可以發出一個DNS查詢,這將導致配置DNS服務器,以允許區域傳輸傾倒它的活動區域數據庫文件的全部內容. 惡意用戶可以使用這些信息來偵察的命名架構在您的組織和攻擊的關鍵基礎設施服務. 您可以通過配置你的DNS服務器拒絕區域傳輸請求,或者通過配置DNS服務器,使組織中的區域傳輸只對特定的服務器防止這種.

8. 使用防火牆來控制DNS訪問
防火牆可以用來獲得對誰可以連接到你的DNS服務器的訪問控制. 對於那些只對內部客戶端查詢中使用的DNS服務器, 配置防火牆以阻止那些DNS服務器從外部主機的連接. 對於用作緩存專用轉發器的DNS服務器, 配置防火牆以允許DNS查詢只從使用只緩存轉發器的DNS服務器. 一個特別重要的防火牆策略設置是阻止內部用戶使用DNS協議連接外部DNS服務器.

9. 在DNS註冊表項設置訪問控制
在基於Windows的DNS服務器, 你應該在DNS服務器相關的註冊表設置配置訪問控制,這樣只有需要訪問他們的帳戶被允許讀取或更改這些註冊表設置.

在HKLM CURRENTCONTROLSET 服務 DNS鍵應該配置為只允許管理員和系統帳戶訪問, 而這些帳戶應該擁有完全控制權限.

10. 在DNS文件系統入口設置訪問控制
在基於Windows的DNS服務器, 你應該在DNS服務器相關的文件系統入口設置訪問控制,這樣只有需要訪問他們的帳戶被允許讀取或更改這些文件.

在%system_directory% DNS文件夾及子文件夾應該被配置為只允許系統帳戶訪問文件, 和系統帳戶應該給予完全控制權限

歷史上的今天: http://www.articlesbase.com/operating-systems-articles/10-things-you-should-know-about-securing-dns-3071533.html

作者簡介

anuj發表夏爾馬(系統管理員)

http://www.winservers.co.in

發表評論

您的電子郵件地址不會被公開. 必填字段標 *