最近,关于DNS的安全事件频发,DNS的安全性再次被大家所重视,
全面出击 让DNS服务器无懈可击
。作为域名解析的DNS服务器被人形象地称为网络的“中间人”,其在网络中的作用不言而喻。DNS服务器是企业的核心服务器,它的健康、安全、稳定地运行对于企业网络的性能、安全起着非常重要的作用。所谓“树大招风”,它成了攻击者热衷的攻击目标。那如何来保护DNS服务器呢?一、防范措施
1.净化DNS缓存免受污染
大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。DNS高速缓存能够极大地提高网络内部的DNS查询性能,极大地提升DNS的性能,当有新的DNS请求时就能够直接从缓存中查询检索DNS信息,节省了时间提升了DNS服务器的性能,也提升了企业网络的访问速度。但DNS的缓存也是“双刃剑”,如果其里面的DNS信息被恶意修改的话,不但不能起到DNS加速,而且会误导DNS服务器造成无法进行DNS解析,甚至导致DNS劫持把用户引向恶意的站点,而不是用户想要访问的站点。因此必须要对DNS的缓存进行“净化”,防止其被“污染”。
绝大部分DNS服务器都能够通过配置阻止缓存污染。Windows Server 2003 DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows 2000 DNS服务器,可以进行配置使它预防污染。操作方法是:打开DNS服务器的“属性”对话框,然后点击“高级”选项卡,选择“防止缓存污染”选项,然后重新启动DNS服务器即可。(图1)
2.做好DNS相关的注册表项的赋权
基于Windows的DNS服务器,会在注册表中创建相应的注册表项,这些注册表项对与DNS服务器至关重要。因此我们保护DNS服务器一定不要忽视对于这些注册表项的保护,通过在与DNS服务器相关的注册表中设置访问控制,赋予权限使得只有那些需要访问的帐户才能够阅读或修改这些注册表设置,就能够在最大程度上保护DNS服务器的安全,避免恶意修改或者攻击。
注册表中与DNS相关的注册表项是“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNS”,我们打开注册表编辑器定位到该注册表项上然后点击右键选择“权限”,在“安全”选项卡下根据需要进行赋权。笔者建议,赋权最好是针对用户的,不要给一个组赋权比如Administrators组,这样虽然比较麻烦,但是能够有针对性地保护DNS服务器的安全。因为一般的攻击者在实施攻击中所获得的是某个组的权限,我们针对用户的赋权就能避免DNS服务器被整个用户组出卖。我们赋权的原则是system要有完全控制权限,保持默认用户组的权限,然后赋予具体的管理员用户权限。(图2)
3.做好DNS相关的文件的访问控制
基于Windows的DNS服务器中DNS服务器都会创建相应的文件比如Boot、Cache.dns、Root.dns、Zone_name.dns等,这些文件记录了DNS的配置已经缓存等信息。要做好对这些文件的保护,利用NTFS文件系统进行权限限制,做好这些文件的入口访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件,而其他用户是没有权限的,避免了非授权的修改等操作。
与DNS相关的文件存储在C:WINDOWSsystem32dns文件夹及子文件夹中,要对这些文件夹进行权限设置做好访问控制仅仅允许系统帐户访问。安全的原则是服务系统帐户(system)完全控制权限,另外有针对性地赋予授权用户相应的权限,同时也要避免直接给用户组赋权。(图3)
4.DNS服务器的隔离
通过只缓冲DNS服务器实现内部的DNS服务器与外部隔离,能够极大地提升DNS服务器的安全性。把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。
所谓的只缓冲DNS服务器是针对授权域名的,它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。
5.合理配置区域传输
区域传输发生在主DNS服务器和从DNS服务器之间,
电脑资料
《全面出击 让DNS服务器无懈可击》(http://meiwen.anslib.com)。主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新 。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。然而,区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域数据库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划,并攻击关键服务架构。如果DNS服务器允许对任何人都进行区域传输的话,那么网络架构中的主机名、主机IP列表、路由器名和路由IP列表,甚至包括各主机所在的位置和硬件配置等情况都很容易被入侵者得到。因此,要对区域传输进行必要的限制。你可以配置你的DNS服务器,禁止区域传输请求,或者仅允 许针对组织内特定服务器进行区域传输,以此来进行安全防范。
6.使DDNS只用安全连接
DDNS能够将用户的动态IP地址映射到一个固定的DNS服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务项目器程序负责提供DNS服务并实现动态域名解析。
很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减轻DNS管理员的管理费用 ,否则管理员必须手工配置这些主机的DNS资源记录。
然而,如果未检测的DDNS更新,可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。
你可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。这很容易做到,你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样一来,所有的域成员都能够安全地、动态更新他们的DNS信息。
二、扩展优化
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。
设置步骤是:打开“DNS”控制台窗口,在“树”目录中右击欲设置为转发DNS服务器名,并在快捷菜单中选择“属性”,显示计算机属性对话框,选择“转发器”选项卡,添加或修改转发器的IP地址。在“DNS”域列表框中选择“所有其他DNS域”,然后在“所选域的转发器的IP地址列表”框中键入ISP提供的DNS服务器的IP地址,单击“添加”按钮。重复操作,可添加多个DNS服务器的IP地址。需要注意的是,除了可以添加本地ISP的DNS服务器的IP地址外,也可以添加其他著名ISP的DNS服务器的IP地址。(图4)
2.启用DNS解析者
递归查询可以大大地解放本地DNS服务器,把查询任务交给另外的DNS服务器让其执行查询以获得答案。DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名lw.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析ctocio.com.cn时,这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。
DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。当然,你也可以让DNS解析者同时被内、外部用户使用。
3.防火墙限制对DNS服务器的访问
根据实际需要设计防火墙策略,通过防火墙来控制限制用户对DNS服务器的访问。对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接这些DNS服务器。如果是用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。用来隔离用户和DNS
服务器的防火墙可以是硬件防火墙当然也可以利用软件防火墙,笔者觉得ISA是个不错的选择。
4.真假DNS服务器
为了保护DNS服务器,我们可以在企业中部署两台或者多台DNS服务器。在可以与外部通信的主机上建立DNS服务器,这台服务器使它宣布对你的域名具有