DNS服务器是域名系统或域名服务,域名系统为互联网上的主机分配域名和IP地址。用户使用域名和地址,
系统会自动将域名地址转换成IP地址。域名服务是运行域名系统的互联网工具。执行域名服务的服务器叫做DNS服务器,负责回答域名服务的查询。
DNS软件是黑客热衷攻击的目标,可能会带来安全问题。这里有几种保护DNS服务器的方法。
步骤/方法
禁用区域传送区域传送发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权一个特定的域名,并有一个可重写的DNS区域文件,必要时可以更新。
从主DNS服务器接收来自DNS服务器的这些区域文件的只读副本。从属DNS服务器用于提高来自内部或互联网DNS查询的响应性能。然而,区域传输并不仅仅针对从DNS服务器。
任何可以发出DNS查询请求的人都可能导致DNS服务器配置更改,从而允许区域传输转储其自己的区域数据库文件。恶意用户可以使用这些信息来窥探组织内部的命名方案,并攻击关键的服务架构。
您可以将DNS服务器配置为禁止区域传输请求,或者只允许组织中特定服务器的区域传输,以采取安全预防措施。
通过安全连接多个DNS服务器,使DNS仅接受动态更新。动态更新功能使这些DNS服务器能够记录使用DHCP的主机的主机名和IP地址。DDNS可以大大降低DNS管理员的管理成本,
否则,管理员必须手动配置这些主机的DNS资源记录。但是,如果未被检测到的DDNS被更新,可能会带来严重的安全问题。
恶意用户可以将主机配置为文件服务器、Web服务器或数据库服务器的动态更新的DNS主机记录。如果有人想连接这些服务器,就会被转移到其他机器上。您可以降低恶意DNS升级的风险,
通过要求到DNS服务器的安全连接来执行动态升级。这很容易做到,只要您将DNS服务器配置为使用ActiveDirectoryIntegratedZones并要求安全的动态升级。
这样,所有域成员都可以安全、动态地更新他们的DNS信息。
使用防火墙来控制DNS访问。防火墙可以用来控制谁可以连接到您的DNS服务器。对于那些只响应内部用户查询请求的DNS服务器,应该设置防火墙配置,防止外部主机连接到这些DNS服务器。
对于用作只缓存转发器的DNS服务器,防火墙应该配置为只允许那些使用只缓存转发器的DNS服务器发送查询请求。防火墙策略设置的一个重点是防止内部用户使用DNS协议连接到外部DNS服务器。
在DNS注册表中建立访问控制在基于Windows的DNS服务器中,您应该在与DNS服务器相关的注册表中设置访问控制,以便只有那些需要访问的帐户才能读取或修改这些注册表设置。
HKLMCurrentControlSetServicesDNS项应该只允许管理员和系统帐户访问,这些帐户应该具有完全控制权限。
在DNS文件系统入口设置访问控制在基于Windows的DNS服务器中,应该在与DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能读取或修改这些文件。
%system_directory%DNS文件夹及其子文件夹应该只允许系统帐户访问,该帐户应该具有完全控制权限。
