资深网管教你如何操作DNS最安全(图)

DNS 是域名系统 (Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议，因此，很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进，可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别，然后才能选择具体的安全措施。

1、DNS 安全威胁

下面是攻击者对于 DNS 结构进行威胁的常见方式：

“跟踪”是攻击者通过它获取 DNS 区域数据的过程，以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络，开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置，以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。

“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时，其 CPU 使用率将达到其最大值，DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时，使用 DNS 的网络服务对于网络用户将不可用。

“数据修改”是攻击者（使用 DNS 跟踪网络的人）进行的一种尝试，即使用攻击者创建的 IP 数据包中的有效 IP 地址，从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址（子网的 IP 地址范围内的一个 IP 地址），攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。

“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限（例如，使用不保护动态更新的安全）时，可完成重定向。

2、减轻 DNS 安全威胁

可对 DNS 进行配置，以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
　　

　

下面是DNS的三种安全级别，我们可根据单位实际情况，选择DNS 安全配置级别，增加企业的 DNS 安全性。

1、低级安全性

低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
　　
企业的 DNS 结构完全暴露给 Internet。
　　
标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
　　
所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
　　
所有 DNS 服务器都允许向任何服务器进行区域传输。
　　
所有 DNS 服务器都配置为侦听其所有 IP 地址。
　　
在所有 DNS 服务器上禁用防止缓存污染。
　　
允许对所有 DNS 区域进行动态更新。

用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。

2、中级安全性

中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。
　　
企业的 DNS 结构有限暴露给 Internet。
　　
所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。
　　
所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
　　
配置 DNS 服务器在指定的 IP 地址上侦听。
　　
在所有 DNS 服务器上已启用缓存污染防止。
　　
不允许对任何 DNS 区域进行动态更新。
　　
内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许的源和目标地址的有限列表。
　　
防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
　　
所有 Internet 名称解析都使用代理服务器和网关执行。

3、高级安全性

高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。
　　
企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
　　
企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。
　　
配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
　　
所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
　　
配置 DNS 服务器在指定的 IP 地址上侦听。
　　
在所有 DNS 服务器上已启用缓存污染防止。

内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示，这些服务器主持企业内部名称空间的根目录区域。

所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL)，只允许特定个人在 DNS 服务器上执行管理任务。

所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。

DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。

为 DNS 区域配置了安全的动态更新，顶级和根目录区域除外，它们根本不允许进行动态更新。

1、保证 DNS 部署的安全

设计 DNS 服务器部署时，应采用下列 DNS 安全准则：

如果不需要企业网络主机来解析 Internet 上的名称，应取消与 Internet 的 DNS 通信。

在该 DNS 设计中，可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同，内部 DNS 服务器为根域和顶级域主持区域。

在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。

在该 DNS 设计中，企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如，如果企业单位的 Internet DNS 名称空间是 ghq.com，企业网络的内部 DNS 名称空间是 corp.ghq.com。

在内部 DNS 服务器上主持内部 DNS 名称空间，在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。

要解析内部主机进行的外部名称查询，内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。

配置数据包筛选防火墙，以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。

这将便于内部和外部 DNS 服务器间的通信，并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。

2、保护 DNS 服务器服务

要保护企业网络中的 DNS 服务器的安全，请采用下列准则：

检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。（如表2所示）
　　

　

管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ，除了影响上述安全性的默认 DNS 服务器服务设置外，配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时，对于 DNS 服务器服务的默认组或用户名和权限。
　　

DNS 服务器服务在域控制器上运行时，可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同，建议采用后一种方法。这样，Active Directory 对象和 DNS 服务器的安全管理员应直接联系，以确保管理员不会颠倒彼此的安全设置。

应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大，并能提供包括 Active Directory 的各种功能，Active Directory 是域、用户帐户和其他重要安全功能所需要的。

3、保护 DNS 区域

DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义：

配置安全的动态更新。

默认情况下，“动态更新”设置未被配置为允许动态更新。这是最安全的设置，因为它能够防止攻击者更新 DNS 区域，但是，该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据，应将 DNS 区域存储在 Active Directory 中，并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机，同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。

限制区域传输