wedo.com.tw知識庫相關文章彙整
保護DNS伺服器十大最有效方法
DNS軟體是駭客熱衷攻擊的目標,它可能帶來安全問題。本文提供了10個保護DNS伺服器最有效的方法。
一. 使用DNS轉發器
DNS轉發器是為其他DNS伺服器
完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS快取記憶體中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果您的DNS伺服器保存了您內部的域DNS資源記錄的話,這一點就非常重要。不讓內部DNS伺服器進行遞迴查詢並直接聯繫DNS伺服器,而是讓它使用轉發器來處理未授權的請求。
二. 使用只緩衝DNS伺服器
只緩衝DNS伺服器是針對為授權功能變數名稱的。它被用做遞迴查詢或者使用轉發器。當只緩衝DNS伺服器收到一個回饋,它把結果保存在快取記憶體中,然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩衝DNS伺服器可以收集大量的DNS回饋,這能極大地縮短它提供DNS回應的時間。 把只緩衝DNS伺服器作為轉發器使用,在您的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩衝DNS伺服器當作自己的轉發器,只緩衝 DNS伺服器代替您的內部DNS伺服器完成遞迴查詢。使用您自己的只緩衝DNS伺服器作為轉發器能夠提高安全性,因為您不需要依賴您的ISP的DNS服務 器作為轉發器,在您不能確認ISP的DNS伺服器安全性的情況下,更是如此。
三. 使用DNS廣告者(DNS advertisers)
DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如,如果您的主機對於domain.com 和corp.com是公開可用的資源,您的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區檔。
除DNS區檔宿主的其他DNS伺服器之外的DNS廣告者設置,是DNS廣告者只回答其授權的功能變數名稱的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞迴 查詢。這讓用戶不能使用您的公共DNS伺服器來解析其他功能變數名稱。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。
四. 使用DNS解析者
DNS解析者是一台可以完成遞迴查詢的DNS伺服器,它能夠解析為授權的功能變數名稱。例如,您可能在內部網路上有一台DNS伺服器,授權內部網路功能變數名稱 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時,這台DNS伺服器通過向其他DNS伺服器查詢來執行遞迴 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名稱。DNS解析者可以是未授權DNS功能變數名稱的只緩存DNS伺服器。您可以讓DNS 解析者僅對內部用戶使用,您也可以讓它僅為外部使用者服務,這樣您就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,您也 可以讓DNS解析者同時被內、外部用戶使用。
五. 保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS伺服器都能夠將DNS查詢結果在答覆給發出請求的主機之前,就保存在快取記憶體中。DNS快取記憶體 能夠極大地提高您組織內部的DNS查詢性能。問題是如果您的DNS伺服器的快取記憶體中被大量假的DNS資訊“污染”了的話,用戶就有可能被送到惡意網站 而不是他們原先想要訪問的網站。
絕大部分DNS伺服器都能夠通過配置阻止緩存污染。WindowsServer 2003 DNS伺服器預設的配置狀態就能夠防止緩存污染。如果您使用的是Windows 2000 DNS伺服器,您可以配置它,打開DNS伺服器的Properties對話方塊,然後點擊“高級”表。選擇“防止緩存污染”選項,然後重新開機DNS伺服器。
六. 使DDNS只用安全連接
很多DNS伺服器接受動態更新。動態更新特性使這些DNS伺服器能記錄使用DHCP的主機的主機名稱和IP位址。DDNS能夠極大地減輕DNS管理員的管理費用 ,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意使用者可以配置主機成為台檔案伺服器、Web伺服器或者資料庫伺服器動態更新 的DNS主機記錄,如果有人想連接到這些伺服器就一定會被轉移到其他的機器上。 您可以減少惡意DNS升級的風險,通過要求安全連接到DNS伺服器執行動態升級。這很容易做到,您只要配置您的DNS伺服器使用活動目錄綜合區 (Active Directory Integrated Zones)並要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS資訊。
七. 禁用區域傳輸
區域傳輸發生在主DNS伺服器和從DNS伺服器之間。主DNS伺服器授權特定功能變數名稱,並且帶有可改寫的DNS區域檔,在需要的時候可以對該檔進行更新 。從DNS伺服器從主力DNS伺服器接收這些區域檔的唯讀拷貝。從DNS伺服器被用於提高來自內部或者互聯網DNS查詢回應性能。
然而,區域傳輸並不僅僅針對從DNS伺服器。任何一個能夠發出DNS查詢請求的人都可能引起DNS伺服器配置改變,允許區域傳輸傾倒自己的區域資料 庫檔。惡意使用者可以使用這些資訊來偵察您組織內部的命名計畫,並攻擊關鍵服務架構。您可以配置您的DNS伺服器,禁止區域傳輸請求或者僅允 許針對組織內特定伺服器進行區域傳輸,以此來進行安全防範。
八. 使用防火牆來控制DNS訪問
防火牆可以用來控制誰可以連接到您的DNS伺服器上。對於那些僅僅回應內部用戶查詢請求的DNS伺服器,應該設置防火牆的配置,阻止外部主機連接 這些DNS伺服器。對於用做只緩存轉發器的DNS伺服器,應該設置防火牆的配置,僅僅允許那些使用只緩存轉發器的DNS伺服器發來的查詢請求。防火牆策略設置的重要一點是阻止內部使用者使用DNS協定連接外部DNS伺服器。
九. 在DNS註冊表中建立存取控制
在基於Windows的DNS伺服器中,您應該在DNS伺服器相關的註冊表中設置存取控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些註冊表設置。HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制許可權。
十. 在DNS檔案系統入口設置存取控制
在基於Windows的DNS伺服器中,您應該在DNS伺服器相關的檔案系統入口設置存取控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些檔。
%system_directory%\DNS資料夾及子資料夾應該僅僅允許系統帳戶訪問,系統帳戶應該擁有完全控制許可權。
(此篇文章為網路轉載,如有冒犯,請來信告知,當即刻移除!)
