DNS服务器是域名系统或域名服务。域名系统为互联网上的主机分配域地址和IP地址。使用用户的域名地址,系统会自动将域名地址转换为IP地址。域名服务是运行域名系统的互联网工具。执行域名服务的服务器称为DNS服务器,DNS服务器回答域名服务的查询。
DNS软件是黑客热衷攻击的目标,它可能会带来安全问题。这里有几种保护DNS服务器的方法。
步骤/方法
禁用区域传输
区域传送发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权一个特定的域名,并有一个可重写的DNS区域文件,必要时可以更新。从主DNS服务器接收这些区域文件的只读副本。从属DNS服务器用于提高来自内部或互联网的DNS查询的响应性能。
然而,区域转移不仅仅适用于从属DNS服务器。任何可以发出DNS查询请求的人都可能导致DNS服务器配置更改,从而允许区域传输转储其自己的区域数据库文件。恶意用户可以使用这些信息来窥探组织的内部命名计划,并攻击关键的服务架构。您可以配置您的DNS服务器,禁止区域复制请求,或者只允许区域复制到您组织中的特定服务器,以便采取安全预防措施。
使DNS仅使用安全连接。
许多DNS服务器接受动态更新。更新功能使这些DNS服务器能够记录使用DHCP的主机的主机名和IP地址。DDNS可以大大减少
减轻DNS管理员的管理成本,否则管理员必须手动配置这些主机的DNS资源记录。
但是,如果没有检测到DDNS更新,可能会带来严重的安全问题。恶意用户可以配置主机来动态更新文件服务器、web服务器或数据库服务器的DNS主机记录。如果有人想连接这些服务器,就会被转移到其他机器上。
您可以通过要求到DNS服务器的安全连接来降低恶意DNS升级的风险并执行动态升级。做到这一点很容易。你只需要配置你的DNS服务器使用ActiveDirectoryIntegratedZones,并要求安全动态升级。这样,所有域成员都可以安全、动态地更新他们的DNS信息。
使用防火墙控制DNS访问
防火墙可以用来控制谁可以连接到您的DNS服务器。对于那些只响应内部用户查询请求的DNS服务器,应该设置防火墙配置,防止外部主机连接到这些DNS服务器。对于用作只缓存转发器的DNS服务器,防火墙的配置应该设置为只允许来自使用只缓存转发器的DNS服务器的查询请求。防火墙策略设置的一个重点是防止内部用户使用DNS协议连接到外部DNS服务器。
在DNS注册表中建立访问控制
在基于Windows的DNS服务器中,您应该在与DNS服务器相关的注册表中设置访问控制,以便只有那些需要访问的帐户才能读取或修改这些注册表设置。
HKCurrentControlSetServicesDNS项应该只允许管理员和系统帐户访问,并且这些帐户应该具有完全控制权限。
在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中,应该在与DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐号才能读取或修改这些文件。
%system_directory%DNS文件夹及其子文件夹应该只能由系统帐户访问,该帐户应该具有完全控制权限。
