本文收集總結了幾點保護DNS伺服器的有效方法。需要的朋友的可以參考下。
1.使用DNS轉發器
DNS轉發器是為其他DNS伺服器
完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS伺服器轉給轉發器, 從DNS轉發器潛在地更大DNS快取記憶體中受益。
使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自網際網路DNS伺服器的查詢請求。如果你的DNS伺服器儲存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS伺服器進行遞迴查詢並直接聯絡DNS伺服器,而是讓它使用轉發器來處理未授權的請求。
2.使用只緩衝DNS伺服器
只緩衝DNS伺服器是針對為授權域名的。它被用做遞迴查詢或者使用轉發器。當只緩衝DNS伺服器收到一個反饋,它把結果儲存在快取記憶體中,然後把 結果傳送給向它提出DNS查詢請求的系統。隨著時間推移,只緩衝DNS伺服器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。
把只緩衝DNS伺服器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS伺服器可以把只緩衝DNS伺服器當作自己的轉發器,只緩衝 DNS伺服器代替你的內部DNS伺服器完成遞迴查詢。使用你自己的只緩衝DNS伺服器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS伺服器安全性的情況下,更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一臺負責解析域中查詢的DNS伺服器。例如,如果你的主機對於domain.com 和corp.com是公開可用的資源,你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區檔案。
除DNS區檔案宿主的其他DNS伺服器之外的DNS廣告者設定,是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞迴 查詢。這讓使用者不能使用你的公共DNS伺服器來解析其他域名。透過減少與執行一個公開DNS解析者相關的風險,包括快取中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一臺可以完成遞迴查詢的DNS伺服器,它能夠解析為授權的域名。例如,你可能在內部網路上有一臺DNS伺服器,授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這臺DNS伺服器去解析techrepublic.com時,這臺DNS伺服器透過向其他DNS伺服器查詢來執行遞迴 以獲得答案。
DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析網際網路主機名。DNS解析者可以是未授權DNS域名的只快取DNS伺服器。你可以讓DNS 解析者僅對內部使用者使用,你也可以讓它僅為外部使用者服務,這樣你就不用在沒有辦法控制的外部設立DNS伺服器了,從而提高了安全性。當然,你也 可以讓DNS解析者同時被內、外部使用者使用。
5.保護DNS不受快取汙染
DNS快取汙染已經成了日益普遍的問題。絕大部分DNS伺服器都能夠將DNS查詢結果在答覆給發出請求的主機之前,就儲存在快取記憶體中。DNS快取記憶體 能夠極大地提高你組織內部的DNS查詢效能。問題是如果你的DNS伺服器的快取記憶體中被大量假的DNS資訊“汙染”了的話,使用者就有可能被送到惡意站點 而不是他們原先想要訪問的網站。
絕大部分DNS伺服器都能夠透過配置阻止快取汙染。windowsServer 2003 DNS伺服器預設的配置狀態就能夠防止快取汙染。如果你使用的是Windows 2000 DNS伺服器,你可以配置它,開啟DNS伺服器的Properties對話方塊,然後點選“高階”表。選擇“防止快取汙染”選項,然後重新啟動DNS伺服器。
6.使DDNS只用安全連線
很多DNS伺服器接受動態更新。動態更新特性使這些DNS伺服器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減輕DNS管理員的管理費用 ,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意使用者可以配置主機成為臺檔案伺服器、Web伺服器或者資料庫伺服器動態更新 的DNS主機記錄,如果有人想連線到這些伺服器就一定會被轉移到其他的機器上。
你可以減少惡意DNS升級的風險,透過要求安全連線到DNS伺服器執行動態升級。這很容易做到,你只要配置你的DNS伺服器使用活動目錄綜合區 (Active Directory Integrated Zones)並要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS資訊。
7.禁用區域傳輸
區域傳輸發生在主DNS伺服器和從DNS伺服器之間。主DNS伺服器授權特定域名,並且帶有可改寫的DNS區域檔案,在需要的時候可以對該檔案進行更新 。從DNS伺服器從主力DNS伺服器接收這些區域檔案的只讀複製。從DNS伺服器被用於提高來自內部或者網際網路DNS查詢響應效能。
然而,區域傳輸並不僅僅針對從DNS伺服器。任何一個能夠發出DNS查詢請求的人都可能引起DNS伺服器配置改變,允許區域傳輸傾倒自己的區域資料 庫檔案。惡意使用者可以使用這些資訊來偵察你組織內部的命名計劃,並攻擊關鍵服務架構。你可以配置你的DNS伺服器,禁止區域傳輸請求,或者僅允 許針對組織內特定伺服器進行區域傳輸,以此來進行安全防範。
8.使用防火牆來控制DNS訪問
防火牆可以用來控制誰可以連線到你的DNS伺服器上。對於那些僅僅響應內部使用者查詢請求的DNS伺服器,應該設定防火牆的配置,阻止外部主機連線 這些DNS伺服器。對於用做只快取轉發器的DNS伺服器,應該設定防火牆的配置,僅僅允許那些使用只快取轉發器的DNS伺服器發來的查詢請求。防火牆策略設定的重要一點是阻止內部使用者使用DNS協議連線外部DNS伺服器。
9.在DNS登錄檔中建立訪問控制
在基於Windows的DNS伺服器中,你應該在DNS伺服器相關的登錄檔中設定訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些登錄檔設定。
HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制許可權。
10.在DNS檔案系統入口設定訪問控制
在基於Windows的DNS伺服器中,你應該在DNS伺服器相關的檔案系統入口設定訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些檔案。
%system_directory%\DNS資料夾及子資料夾應該僅僅允許系統帳戶訪問,系統帳戶應該擁有完全控制許可權。