dns軟件是黑客熱衷攻擊的目標(biāo),它可能帶來安全問題�����。本文為大家提供了以下10個保護(hù)dns服務(wù)器最有效的方法。
技巧1�、使用dns轉(zhuǎn)發(fā)器
dns轉(zhuǎn)發(fā)器是為其他dns服務(wù)器完成dns查詢的dns服務(wù)器。使用dns轉(zhuǎn)發(fā)器的主要目的是減輕dns處理的壓力����,把查詢請求從dns服務(wù)器轉(zhuǎn)給轉(zhuǎn)發(fā)器,從dns轉(zhuǎn)發(fā)器潛在地更大dns高速緩存中受益��。
使用dns轉(zhuǎn)發(fā)器的另一個好處是它阻止了dns服務(wù)器轉(zhuǎn)發(fā)來自互聯(lián)網(wǎng)dns服務(wù)器的查詢請求����。如果你的dns服務(wù)器保存了你內(nèi)部的域dns資源記錄的話,這一點(diǎn)就非常重要�����。不讓內(nèi)部dns服務(wù)器進(jìn)行遞歸查詢并直接聯(lián)系dns服務(wù)器�,而是讓它使用轉(zhuǎn)發(fā)器來處理未授權(quán)的請求。
技巧2���、使用只緩沖dns服務(wù)器
只緩沖dns服務(wù)器是針對為授權(quán)域名的��。它被用做遞歸查詢或者使用轉(zhuǎn)發(fā)器�。當(dāng)只緩沖dns服務(wù)器收到一個反饋,它把結(jié)果保存在高速緩存中�,然后把結(jié)果發(fā)送給向它提出dns查詢請求的系統(tǒng)。隨著時間推移����,只緩沖dns服務(wù)器可以收集大量的dns反饋,這能極大地縮短它提供dns響應(yīng)的時間�����。
把只緩沖dns服務(wù)器作為轉(zhuǎn)發(fā)器使用����,在你的管理控制下�����,可以提高組織安全性�����。內(nèi)部dns服務(wù)器可以把只緩沖dns服務(wù)器當(dāng)作自己的轉(zhuǎn)發(fā)器���,只緩沖 dns服務(wù)器代替你的內(nèi)部dns服務(wù)器完成遞歸查詢�����。使用你自己的只緩沖dns服務(wù)器作為轉(zhuǎn)發(fā)器能夠提高安全性���,因為你不需要依賴你的isp的dns服務(wù)器作為轉(zhuǎn)發(fā)器��,在你不能確認(rèn)isp的dns服務(wù)器安全性的情況下����,更是如此�����。
技巧3�、使用dns廣告者(dns advertisers)
dns廣告者是一臺負(fù)責(zé)解析域中查詢的dns服務(wù)器。例如�,如果你的主機(jī)對于domain.com 和corp.com是公開可用的資源,你的公共dns服務(wù)器就應(yīng)該為 domain.com 和corp.com配置dns區(qū)文件�����。
除dns區(qū)文件宿主的其他dns服務(wù)器之外的dns廣告者設(shè)置�,是dns廣告者只回答其授權(quán)的域名的查詢。這種dns服務(wù)器不會對其他dns服務(wù)器進(jìn)行遞歸查詢。這讓用戶不能使用你的公共dns服務(wù)器來解析其他域名�。通過減少與運(yùn)行一個公開dns解析者相關(guān)的風(fēng)險,包括緩存中毒����,增加了安全。
技巧4�、使用dns解析者
dns解析者是一臺可以完成遞歸查詢的dns服務(wù)器,它能夠解析為授權(quán)的域名��。例如�,你可能在內(nèi)部網(wǎng)絡(luò)上有一臺dns服務(wù)器,授權(quán)內(nèi)部網(wǎng)絡(luò)域名internalcorp.com的dns服務(wù)器��。當(dāng)網(wǎng)絡(luò)中的客戶機(jī)使用這臺dns服務(wù)器去解析techrepublic.com時�,這臺dns服務(wù)器通過向其他dns服務(wù)器查詢來執(zhí)行遞歸 以獲得答案。
dns服務(wù)器和dns解析者之間的區(qū)別是dns解析者是僅僅針對解析互聯(lián)網(wǎng)主機(jī)名�����。dns解析者可以是未授權(quán)dns域名的只緩存dns服務(wù)器��。你可以讓dns 解析者僅對內(nèi)部用戶使用���,你也可以讓它僅為外部用戶服務(wù),這樣你就不用在沒有辦法控制的外部設(shè)立dns服務(wù)器了,從而提高了安全性�����。當(dāng)然�����,你也可以讓dns解析者同時被內(nèi)���、外部用戶使用��。
技巧5��、使ddns只用安全連接
很多dns服務(wù)器接受動態(tài)更新�。動態(tài)更新特性使這些dns服務(wù)器能記錄使用dhcp的主機(jī)的主機(jī)名和ip地址�����。ddns能夠極大地減輕dns管理員的管理費(fèi)用����,否則管理員必須手工配置這些主機(jī)的dns資源記錄。
然而���,如果未檢測的ddns更新����,可能會帶來很嚴(yán)重的安全問題。一個惡意用戶可以配置主機(jī)成為臺文件服務(wù)器��、web服務(wù)器或者數(shù)據(jù)庫服務(wù)器動態(tài)更新的dns主機(jī)記錄���,如果有人想連接到這些服務(wù)器就一定會被轉(zhuǎn)移到其他的機(jī)器上��。
你可以減少惡意dns升級的風(fēng)險�����,通過要求安全連接到dns服務(wù)器執(zhí)行動態(tài)升級�����。這很容易做到����,你只要配置你的dns服務(wù)器使用活動目錄綜合區(qū)(active directory integrated zones)并要求安全動態(tài)升級就可以實現(xiàn)��。這樣一來�����,所有的域成員都能夠安全地����、動態(tài)更新他們的dns信息。
技巧6��、使用防火墻來控制dns訪問
防火墻可以用來控制誰可以連接到你的dns服務(wù)器上��。對于那些僅僅響應(yīng)內(nèi)部用戶查詢請求的dns服務(wù)器���,應(yīng)該設(shè)置防火墻的配置�����,阻止外部主機(jī)連接這些dns服務(wù)器���。對于用做只緩存轉(zhuǎn)發(fā)器的dns服務(wù)器,應(yīng)該設(shè)置防火墻的配置���,僅僅允許那些使用只緩存轉(zhuǎn)發(fā)器的dns服務(wù)器發(fā)來的查詢請求��。防火墻策略設(shè)置的重要一點(diǎn)是阻止內(nèi)部用戶使用dns協(xié)議連接外部dns服務(wù)器�����。
技巧7����、在dns注冊表中建立訪問控制
在基于windows的dns服務(wù)器中,你應(yīng)該在dns服務(wù)器相關(guān)的注冊表中設(shè)置訪問控制�,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設(shè)置。
hklm\currentcontrolset\services\dns鍵應(yīng)該僅僅允許管理員和系統(tǒng)帳戶訪問��,這些帳戶應(yīng)該擁有完全控制權(quán)限����。
技巧8、在dns文件系統(tǒng)入口設(shè)置訪問控制
在基于windows的dns服務(wù)器中����,你應(yīng)該在dns服務(wù)器相關(guān)的文件系統(tǒng)入口設(shè)置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件����。
%system_directory%\dns文件夾及子文件夾應(yīng)該僅僅允許系統(tǒng)帳戶訪問,系統(tǒng)帳戶應(yīng)該擁有完全控制權(quán)限��。
技巧9����、保護(hù)dns不受緩存污染
dns緩存污染已經(jīng)成了日益普遍的問題。絕大部分dns服務(wù)器都能夠?qū)ns查詢結(jié)果在答復(fù)給發(fā)出請求的主機(jī)之前�����,就保存在高速緩存中����。dns高速緩存能夠極大地提高你組織內(nèi)部的dns查詢性能。問題是如果你的dns服務(wù)器的高速緩存中被大量假的dns信息“污染”了的話�����,用戶就有可能被送到惡意站點(diǎn) 而不是他們原先想要訪問的網(wǎng)站���。
絕大部分dns服務(wù)器都能夠通過配置阻止緩存污染�����。windowsserver 2003 dns服務(wù)器默認(rèn)的配置狀態(tài)就能夠防止緩存污染����。如果你使用的是windows 2000 dns服務(wù)器�,你可以配置它���,打開dns服務(wù)器的properties對話框,然后點(diǎn)擊“高級”表��。選擇“防止緩存污染”選項��,然后重新啟動dns服務(wù)器�。
技巧10、禁用區(qū)域傳輸
區(qū)域傳輸發(fā)生在主dns服務(wù)器和從dns服務(wù)器之間��。主dns服務(wù)器授權(quán)特定域名���,并且?guī)в锌筛膶懙膁ns區(qū)域文件���,在需要的時候可以對該文件進(jìn)行更新。從dns服務(wù)器從主力dns服務(wù)器接收這些區(qū)域文件的只讀拷貝�����。從dns服務(wù)器被用于提高來自內(nèi)部或者互聯(lián)網(wǎng)dns查詢響應(yīng)性能����。
然而,區(qū)域傳輸并不僅僅針對從dns服務(wù)器。任何一個能夠發(fā)出dns查詢請求的人都可能引起dns服務(wù)器配置改變��,允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù)庫文件���。惡意用戶可以使用這些信息來偵察你組織內(nèi)部的命名計劃,并攻擊關(guān)鍵服務(wù)架構(gòu)����。你可以配置你的dns服務(wù)器,禁止區(qū)域傳輸請求���,或者僅允許針對組織內(nèi)特定服務(wù)器進(jìn)行區(qū)域傳輸���,以此來進(jìn)行安全防范。
