保護DNS服務器的幾種方法
DNS服務器是(Domain Name System或者Domain Name Service)域名系統(tǒng)或者域名服務,域名系統(tǒng)為Internet上的主機分配域名地址和IP地址。用戶使用域名地址,該系統(tǒng)就會自動把域名地址轉(zhuǎn)為IP地址。域名服務是運行域名系統(tǒng)的Internet工具。執(zhí)行域名服務的服務器稱之為DNS服務器,通過DNS服務器來應答域名服務的查詢。
DNS軟件是黑客熱衷攻擊的目標,它可能帶來安全問題。下面是保護DNS服務器的幾種方法。
步驟/方法
禁用區(qū)域傳輸
區(qū)域傳輸發(fā)生在主DNS服務器和從DNS服務器之間。主DNS服務器授權(quán)特定域名,并且?guī)в锌筛膶懙腄NS區(qū)域文件,在需要的時候可以對該文件進行更新。從DNS服務器從主力DNS服務器接收這些區(qū)域文件的只讀拷貝。從DNS服務器被用于提高來自內(nèi)部或者互聯(lián)網(wǎng)DNS查詢響應性能。
然而,區(qū)域傳輸并不僅僅針對從DNS服務器。任何一個能夠發(fā)出DNS查詢請求的人都可能引起DNS服務器配置改變,允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù)庫文件。惡意用戶可以使用這些信息來偵察你組織內(nèi)部的命名計劃,并攻擊關(guān)鍵服務架構(gòu)。你可以配置你的DNS服務器,禁止區(qū)域傳輸請求,或者僅允許針對組織內(nèi)特定服務器進行區(qū)域傳輸,以此來進行安全防范。
使DNS只用安全連接
很多DNS服務器接受動態(tài)更新。動態(tài)更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減
輕DNS管理員的管理費用,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為臺文件服務器、Web服務器或者數(shù)據(jù)庫服務器動態(tài)更新的DNS主機記錄,如果有人想連接到這些服務器就一定會被轉(zhuǎn)移到其他的機器上。
你可以減少惡意DNS升級的風險,通過要求安全連接到DNS服務器執(zhí)行動態(tài)升級。這很容易做到,你只要配置你的DNS服務器使用活動目錄綜合區(qū)(ActiveDirectoryIntegratedZones)并要求安全動態(tài)升級就可以實現(xiàn)。這樣一來,所有的域成員都能夠安全地、動態(tài)更新他們的DNS信息。
使用防火墻來控制DNS訪問
防火墻可以用來控制誰可以連接到你的DNS服務器上。對于那些僅僅響應內(nèi)部用戶查詢請求的DNS服務器,應該設置防火墻的配置,阻止外部主機連接這些DNS服務器。對于用做只緩存轉(zhuǎn)發(fā)器的DNS服務器,應該設置防火墻的配置,僅僅允許那些使用只緩存轉(zhuǎn)發(fā)器的DNS服務器發(fā)來的查詢請求。防火墻策略設置的重要一點是阻止內(nèi)部用戶使用DNS協(xié)議連接外部DNS服務器。
在DNS注冊表中建立訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關(guān)的注冊表中設置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
HKLMCurrentControlSetServicesDNS鍵應該僅僅允許管理員和系統(tǒng)帳戶訪問,這些帳戶應該擁有完全控制權(quán)限。
在DNS文件系統(tǒng)入口設置訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關(guān)的文件系統(tǒng)入口設置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。
%system_directory%DNS文件夾及子文件夾應該僅僅允許系統(tǒng)帳戶訪問,系統(tǒng)帳戶應該擁有完全控制權(quán)限。
關(guān)鍵詞:DNS服務器
閱讀本文后您有什么感想? 已有
0
人給出評價!
- 1
- 0
- 0
- 0
- 0
- 0