Обеспечение защиты инфраструктуры DNS от внешних и внутренних атак является необходимой задачей особенно в тех случаях, когда DNS-серверы доступны из Интернета. Если DNS-сервер интегрирован в доменные службы Active Directory, можно настроить его для использования безопасных динамических обновлений, что будет препятствовать внесению неавторизованных изменений в данные DNS. Можно предпринять ряд дополнительных действий, способствующих уменьшению вероятности нарушения злоумышленником согласованности инфраструктуры DNS.

Задача Справочные сведения

Определите, какие угрозы для безопасности DNS являются наиболее существенными в определенной среде, а также требуемый уровень безопасности.

Сведения о безопасности для DNS

Чтобы не дать злоумышленнику за пределами организации получить внутренние сетевые сведения, используйте отдельные DNS-серверы для разрешения внутренних имен и имен в Интернете. Внутреннее пространство имен DNS должно быть размещено на DNS-серверах в сети, защищенной брандмауэром. Внешние DNS-серверы, к которым будет предоставлен доступ из Интернета, должны быть размещены в демилитаризованной зоне. Чтобы обеспечить разрешение имен Интернета для внутренних узлов, внутренние DNS-серверы могут использовать пересылку для отправки внешних запросов на внешний DNS-сервер. Настройте внешний маршрутизатор и брандмауэр таким образом, чтобы трафик DNS мог проходить только между внутренними и внешними DNS-серверами.

Общее представление о серверах пересылки;

Использование серверов пересылки

Если следует включить передачу зоны для DNS-серверов в сети, к которым имеется доступ из Интернета, ограничьте передачу зон DNS только для DNS-серверов, определенных в зоне по записям ресурсов сервера имен (NS), или для DNS-серверов в сети организации.

Изменение параметров передачи зоны

Если сервер, на котором работает служба DNS-сервера, является многосетевым компьютером, ограничьте службу DNS-сервера на прослушивание IP-адреса только одного интерфейса, который используется DNS-клиентами и внутренними серверами. Например, если сервер работает как прокси-сервер, на нем может быть установлено два сетевых адаптера: один для внутренней сети, а другой для Интернета. Если на этом сервере также работает служба DNS-сервера, можно настроить эту службу на прослушивание DNS-трафика только по IP-адресу, используемому сетевым адаптером внутренней сети.

Настройка многосетевых серверов;

Ограничение DNS-сервера для прослушивания только выбранных адресов

Убедитесь, что параметры сервера по умолчанию, обеспечивающие безопасность кэша всех DNS-серверов, не были изменены. Повреждение имен происходит, когда ответы на DNS-запросы содержат неавторизованные или вредоносные данные.

Обеспечение безопасности кэша сервера для предотвращения повреждения имен

Разрешите только безопасные динамические обновления для всех зон DNS. Таким образом, только авторизованные пользователи смогут отправлять DNS-обновления, используя безопасный метод, что предотвратит получение злоумышленником сведений об IP-адресах.

Общее представление о динамических обновлениях;

Разрешение только безопасных динамических обновлений

Отключите рекурсию на DNS-серверах, которые не отвечают напрямую DNS-клиентам и которые не настроены на пересылку. Для DNS-сервера требуется рекурсия только в том случае, если он отвечает на рекурсивные запросы DNS-клиентов или если он настроен на пересылку. DNS-серверы используют итеративные запросы для связи друг с другом.

Отключение рекурсии на DNS-сервере

Если имеется частное внутреннее пространство DNS, настройте корневые ссылки внутренних DNS-серверов на указание только тех DNS-серверов, в которых размещается внутренний корневой домен, а не DNS-серверов, содержащих корневой домен Интернета.

Обновление корневых ссылок;

Обновление корневых ссылок на DNS-сервере

Если сервер, на котором работает служба DNS-сервера, является контроллером домена, используйте списки управления доступом Active Directory (ACL), чтобы обеспечить безопасность управления доступом к службе DNS-сервера.

Изменение уровня безопасности для службы DNS-сервера на контроллере домена

Используйте только зоны DNS, интегрированные в доменные службы Active Directory. Зоны DNS, размещенные в доменных службах Active Directory, могут использовать преимущества функций безопасности Active Directory, такие как безопасное динамическое обновление и возможность применения параметров безопасности доменных служб Active Directory к DNS-серверам, зонам и записям ресурсов.

Если зона DNS не хранится в доменных службах Active Directory, обеспечьте безопасность файла зоны DNS путем изменения разрешений для файла зоны DSN или для папки, в которой находятся файлы зоны. Разрешения для файла или папки зоны должны быть настроены таким образом, чтобы полный доступ был предоставлен только для группы «Система». По умолчанию файлы зоны хранятся в папке %systemroot%\System32\Dns.

Общее представление об интеграции доменных служб Active Directory;

Настройка DNS-сервера для использования совместно с доменными службами Active Directory