DNS软件是黑客热衷攻击的目标,可能会带来安全问题。本文提供了保护DNS服务器的10种最有效的方法。
1.使用DNS转发器
DNS转发器用于其他DNS服务器。
完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减少DNS处理的压力,将查询请求从DNS服务器转移到转发器,并受益于DNS转发器潜在的更大的DNS缓存。
使用DNS转发器的另一个优点是,它可以防止DNS服务器转发来自Internet DNS服务器的查询请求。如果您的DNS服务器保留了您的内部域DNS资源的记录,这是非常重要的。
与其递归查询内部DNS服务器并直接联系DNS服务器,不如让它使用转发器来处理未授权的请求。
2.使用仅缓冲的DNS服务器
仅限缓冲区的DNS服务器用于授权域名。它被用作递归查询或转发器。当仅缓冲DNS服务器收到反馈时,它将结果保存在缓存中,然后将结果发送给向其发出DNS查询请求的系统。随着时间的推移,
只缓冲DNS服务器可以收集大量的DNS反馈,可以大大缩短提供DNS响应的时间。
使用仅缓冲的DNS服务器作为中继器可以在您的管理控制下提高组织的安全性。内部DNS服务器可以使用缓冲专用DNS服务器作为自己的中继器,缓冲专用DNS服务器可以代替你的内部DNS服务器完成递归查询。
使用自己的仅缓冲DNS服务器作为中继器可以提高安全性,因为你不需要依赖你的ISP的DNS服务器作为中继器,尤其是在你无法确认你的ISP的DNS服务器的安全性的情况下。
3. Advertisers who use Domain Name Server (DNS advertisers)
DNS广告商是负责解析域中的查询的DNS服务器。例如,如果您的主机是domain.com和corp.com的公共资源,
您的公共DNS服务器应该为domain.com和corp.com配置DNS区域文件。
DNS区文件托管的其他DNS服务器之外的DNS广告主的设置是,DNS广告主只回答其授权域名的查询。该DNS服务器不会对其他DNS服务器进行递归查询。
这可以防止用户使用您的公共DNS服务器解析其他域名。通过降低与运行开放DNS解析器相关的风险(包括缓存中毒)来提高安全性。
使用DNS解析器
DNS解析器是一个可以执行递归查询的DNS服务器,它可以解析到一个授权的域名。例如,您可能在内部网络上有一个DNS服务器,它授权内部网络域名internalcorp.com的DNS服务器。
当网络中的客户端使用该DNS服务器解析techrepublic.com时,该DNS服务器通过查询其他DNS服务器来获得答案,从而执行递归。
DNS服务器和DNS解析器的区别在于,DNS解析器仅用于解析Internet主机名。DNS解析器可以是不授权DNS域名的仅缓存DNS服务器。您可以让DNS解析器仅对内部用户使用它。
也可以让它只服务于外部用户,这样就不用在外部设置一个你无法控制的DNS服务器,从而提高安全性。当然,您也可以让内部和外部用户同时使用DNS解析器。
5.保护DNS免受缓存污染
DNS缓存污染已经成为一个越来越普遍的问题。大多数DNS服务器可以在回复请求主机之前将DNS查询结果存储在缓存中。DNS缓存可以大大提高组织内的DNS查询性能。
问题是,如果你的DNS服务器的缓存被大量虚假的DNS信息“污染”,用户可能会被送到恶意网站,而不是他们原本想访问的网站。
大多数DNS服务器可以配置为防止缓存污染。WindowsServer 2003 DNS服务器的默认配置状态可以防止缓存污染。如果您使用Windows 2000 DNS服务器,您可以配置它。
打开DNS服务器的属性对话框,然后单击“高级”表。选择防止缓存污染选项,然后重新启动DNS服务器。
6.让DDNS只使用安全连接。
许多DNS服务器接受动态更新。动态更新功能使这些DNS服务器能够记录使用DHCP的主机的主机名和IP地址。DDNS可以大大降低DNS管理员的管理成本,否则管理员必须手动配置这些主机的DNS资源记录。
但是,如果未被检测到的DDNS被更新,可能会带来严重的安全问题。恶意用户可以将主机配置为文件服务器、Web服务器或数据库服务器的动态更新的DNS主机记录。
如果有人想连接这些服务器,就会被转移到其他机器上。
您可以通过要求与DNS服务器的安全连接来降低恶意DNS升级的风险并执行动态升级。这很容易做到,
您所要做的就是配置您的DNS服务器来使用Active Directory集成区域,并请求安全的动态升级。这样一来,
所有域成员都可以安全、动态地更新他们的DNS信息。
7.禁用区域传输
区域转移发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权一个特定的域名,并有一个可重写的DNS区域文件,必要时可以更新。
从主DNS服务器接收来自DNS服务器的这些区域文件的只读副本。从属DNS服务器用于提高来自内部或互联网DNS查询的响应性能。
然而,区域传输并不仅仅针对从DNS服务器。任何可以发出DNS查询请求的人都可能导致DNS服务器配置更改,从而允许区域传输转储其自己的区域数据库文件。恶意用户可以使用这些信息来窥探组织内部的命名方案。
和攻击关键服务架构。您可以将DNS服务器配置为禁止区域传输请求,或者只允许组织中特定服务器的区域传输,以采取安全预防措施。
8.使用防火墙控制DNS访问
防火墙可以用来控制谁可以连接到您的DNS服务器。对于那些只响应内部用户查询请求的DNS服务器,应该设置防火墙配置,防止外部主机连接到这些DNS服务器。对于用作仅缓存转发器的DNS服务器,
应该将防火墙配置为只允许来自使用仅缓存转发器的DNS服务器的查询请求。防火墙策略设置的一个重点是防止内部用户使用DNS协议连接到外部DNS服务器。
9.在DNS注册表中建立访问控制。
在基于Windows的DNS服务器中,您应该在与DNS服务器相关的注册表中设置访问控制,以便只有那些需要访问权限的帐户才能读取或修改这些注册表设置。
hklm \ current control set \ services \ DNS项应该只允许管理员和系统帐户访问,这些帐户应该具有完全控制权限。
10.在DNS文件系统入口设置访问控制。
在基于Windows的DNS服务器中,您应该在与DNS服务器相关的文件系统入口设置访问控制,以便只有需要访问的帐户才能读取或修改这些文件。
%system_directory%\DNS文件夹及其子文件夹应该只允许系统帐户访问,该帐户应该具有完全控制权限。
