dns軟件是黑客熱衷攻擊的目標�,它可能帶來安全問題���。本文為大家提供了以下10個保護dns服務器最有效的方法���。
技巧1�、使用dns轉發(fā)器
dns轉發(fā)器是為其他dns服務器完成dns查詢的dns服務器����。使用dns轉發(fā)器的主要目的是減輕dns處理的壓力����,把查詢請求從dns服務器轉給轉發(fā)器,從dns轉發(fā)器潛在地更大dns高速緩存中受益���。
使用dns轉發(fā)器的另一個好處是它阻止了dns服務器轉發(fā)來自互聯(lián)網(wǎng)dns服務器的查詢請求��。如果你的dns服務器保存了你內部的域dns資源記錄的話��,這一點就非常重要���。不讓內部dns服務器進行遞歸查詢并直接聯(lián)系dns服務器,而是讓它使用轉發(fā)器來處理未授權的請求�。
技巧2、使用只緩沖dns服務器
只緩沖dns服務器是針對為授權域名的��。它被用做遞歸查詢或者使用轉發(fā)器�。當只緩沖dns服務器收到一個反饋,它把結果保存在高速緩存中�����,然后把結果發(fā)送給向它提出dns查詢請求的系統(tǒng)。隨著時間推移�����,只緩沖dns服務器可以收集大量的dns反饋����,這能極大地縮短它提供dns響應的時間。
把只緩沖dns服務器作為轉發(fā)器使用�,在你的管理控制下,可以提高組織安全性�����。內部dns服務器可以把只緩沖dns服務器當作自己的轉發(fā)器��,只緩沖 dns服務器代替你的內部dns服務器完成遞歸查詢��。使用你自己的只緩沖dns服務器作為轉發(fā)器能夠提高安全性��,因為你不需要依賴你的isp的dns服務器作為轉發(fā)器�����,在你不能確認isp的dns服務器安全性的情況下,更是如此����。
技巧3��、使用dns廣告者(dns advertisers)
dns廣告者是一臺負責解析域中查詢的dns服務器��。例如��,如果你的主機對于domain.com 和corp.com是公開可用的資源����,你的公共dns服務器就應該為 domain.com 和corp.com配置dns區(qū)文件。
除dns區(qū)文件宿主的其他dns服務器之外的dns廣告者設置�����,是dns廣告者只回答其授權的域名的查詢�。這種dns服務器不會對其他dns服務器進行遞歸查詢。這讓用戶不能使用你的公共dns服務器來解析其他域名�。通過減少與運行一個公開dns解析者相關的風險,包括緩存中毒�,增加了安全。
技巧4�����、使用dns解析者
dns解析者是一臺可以完成遞歸查詢的dns服務器,它能夠解析為授權的域名���。例如�����,你可能在內部網(wǎng)絡上有一臺dns服務器�����,授權內部網(wǎng)絡域名internalcorp.com的dns服務器����。當網(wǎng)絡中的客戶機使用這臺dns服務器去解析techrepublic.com時��,這臺dns服務器通過向其他dns服務器查詢來執(zhí)行遞歸 以獲得答案�。
dns服務器和dns解析者之間的區(qū)別是dns解析者是僅僅針對解析互聯(lián)網(wǎng)主機名。dns解析者可以是未授權dns域名的只緩存dns服務器�。你可以讓dns 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務�����,這樣你就不用在沒有辦法控制的外部設立dns服務器了,從而提高了安全性�。當然,你也可以讓dns解析者同時被內�、外部用戶使用。
技巧5��、使ddns只用安全連接
很多dns服務器接受動態(tài)更新��。動態(tài)更新特性使這些dns服務器能記錄使用dhcp的主機的主機名和ip地址�����。ddns能夠極大地減輕dns管理員的管理費用�����,否則管理員必須手工配置這些主機的dns資源記錄�。
然而����,如果未檢測的ddns更新,可能會帶來很嚴重的安全問題�。一個惡意用戶可以配置主機成為臺文件服務器、web服務器或者數(shù)據(jù)庫服務器動態(tài)更新的dns主機記錄�����,如果有人想連接到這些服務器就一定會被轉移到其他的機器上。
你可以減少惡意dns升級的風險�,通過要求安全連接到dns服務器執(zhí)行動態(tài)升級。這很容易做到�,你只要配置你的dns服務器使用活動目錄綜合區(qū)(active directory integrated zones)并要求安全動態(tài)升級就可以實現(xiàn)。這樣一來���,所有的域成員都能夠安全地�、動態(tài)更新他們的dns信息���。
技巧6���、使用防火墻來控制dns訪問
防火墻可以用來控制誰可以連接到你的dns服務器上。對于那些僅僅響應內部用戶查詢請求的dns服務器�,應該設置防火墻的配置,阻止外部主機連接這些dns服務器����。對于用做只緩存轉發(fā)器的dns服務器,應該設置防火墻的配置��,僅僅允許那些使用只緩存轉發(fā)器的dns服務器發(fā)來的查詢請求��。防火墻策略設置的重要一點是阻止內部用戶使用dns協(xié)議連接外部dns服務器。
技巧7���、在dns注冊表中建立訪問控制
在基于windows的dns服務器中�,你應該在dns服務器相關的注冊表中設置訪問控制����,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
hklm\currentcontrolset\services\dns鍵應該僅僅允許管理員和系統(tǒng)帳戶訪問����,這些帳戶應該擁有完全控制權限�。
技巧8、在dns文件系統(tǒng)入口設置訪問控制
在基于windows的dns服務器中�����,你應該在dns服務器相關的文件系統(tǒng)入口設置訪問控制��,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件����。
%system_directory%\dns文件夾及子文件夾應該僅僅允許系統(tǒng)帳戶訪問,系統(tǒng)帳戶應該擁有完全控制權限�����。
技巧9、保護dns不受緩存污染
dns緩存污染已經(jīng)成了日益普遍的問題�����。絕大部分dns服務器都能夠將dns查詢結果在答復給發(fā)出請求的主機之前���,就保存在高速緩存中���。dns高速緩存能夠極大地提高你組織內部的dns查詢性能。問題是如果你的dns服務器的高速緩存中被大量假的dns信息“污染”了的話���,用戶就有可能被送到惡意站點 而不是他們原先想要訪問的網(wǎng)站��。
絕大部分dns服務器都能夠通過配置阻止緩存污染�����。windowsserver 2003 dns服務器默認的配置狀態(tài)就能夠防止緩存污染����。如果你使用的是windows 2000 dns服務器,你可以配置它���,打開dns服務器的properties對話框����,然后點擊“高級”表����。選擇“防止緩存污染”選項,然后重新啟動dns服務器��。
技巧10�、禁用區(qū)域傳輸
區(qū)域傳輸發(fā)生在主dns服務器和從dns服務器之間。主dns服務器授權特定域名�����,并且?guī)в锌筛膶懙膁ns區(qū)域文件�,在需要的時候可以對該文件進行更新�����。從dns服務器從主力dns服務器接收這些區(qū)域文件的只讀拷貝��。從dns服務器被用于提高來自內部或者互聯(lián)網(wǎng)dns查詢響應性能�����。
然而,區(qū)域傳輸并不僅僅針對從dns服務器�。任何一個能夠發(fā)出dns查詢請求的人都可能引起dns服務器配置改變,允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據(jù)庫文件�。惡意用戶可以使用這些信息來偵察你組織內部的命名計劃,并攻擊關鍵服務架構���。你可以配置你的dns服務器����,禁止區(qū)域傳輸請求�,或者僅允許針對組織內特定服務器進行區(qū)域傳輸,以此來進行安全防范�����。
