Обеспечение защиты инфраструктуры DNS от внешних и внутренних атак является необходимой задачей особенно в тех случаях, когда DNS-серверы доступны из Интернета. Если DNS-сервер интегрирован в доменные службы Active Directory, можно настроить его для использования безопасных динамических обновлений, что будет препятствовать внесению неавторизованных изменений в данные DNS. Можно предпринять ряд дополнительных действий, способствующих уменьшению вероятности нарушения злоумышленником согласованности инфраструктуры DNS.
| Задача | Справочные сведения |
|---|---|
|
Определите, какие угрозы для безопасности DNS являются наиболее существенными в определенной среде, а также требуемый уровень безопасности. |
|
|
Чтобы не дать злоумышленнику за пределами организации получить внутренние сетевые сведения, используйте отдельные DNS-серверы для разрешения внутренних имен и имен в Интернете. Внутреннее пространство имен DNS должно быть размещено на DNS-серверах в сети, защищенной брандмауэром. Внешние DNS-серверы, к которым будет предоставлен доступ из Интернета, должны быть размещены в демилитаризованной зоне. Чтобы обеспечить разрешение имен Интернета для внутренних узлов, внутренние DNS-серверы могут использовать пересылку для отправки внешних запросов на внешний DNS-сервер. Настройте внешний маршрутизатор и брандмауэр таким образом, чтобы трафик DNS мог проходить только между внутренними и внешними DNS-серверами. |
|
|
Если следует включить передачу зоны для DNS-серверов в сети, к которым имеется доступ из Интернета, ограничьте передачу зон DNS только для DNS-серверов, определенных в зоне по записям ресурсов сервера имен (NS), или для DNS-серверов в сети организации. |
|
|
Если сервер, на котором работает служба DNS-сервера, является многосетевым компьютером, ограничьте службу DNS-сервера на прослушивание IP-адреса только одного интерфейса, который используется DNS-клиентами и внутренними серверами. Например, если сервер работает как прокси-сервер, на нем может быть установлено два сетевых адаптера: один для внутренней сети, а другой для Интернета. Если на этом сервере также работает служба DNS-сервера, можно настроить эту службу на прослушивание DNS-трафика только по IP-адресу, используемому сетевым адаптером внутренней сети. |
Настройка многосетевых серверов; Ограничение DNS-сервера для прослушивания только выбранных адресов |
|
Убедитесь, что параметры сервера по умолчанию, обеспечивающие безопасность кэша всех DNS-серверов, не были изменены. Повреждение имен происходит, когда ответы на DNS-запросы содержат неавторизованные или вредоносные данные. |
Обеспечение безопасности кэша сервера для предотвращения повреждения имен |
|
Разрешите только безопасные динамические обновления для всех зон DNS. Таким образом, только авторизованные пользователи смогут отправлять DNS-обновления, используя безопасный метод, что предотвратит получение злоумышленником сведений об IP-адресах. |
|
|
Отключите рекурсию на DNS-серверах, которые не отвечают напрямую DNS-клиентам и которые не настроены на пересылку. Для DNS-сервера требуется рекурсия только в том случае, если он отвечает на рекурсивные запросы DNS-клиентов или если он настроен на пересылку. DNS-серверы используют итеративные запросы для связи друг с другом. |
|
|
Если имеется частное внутреннее пространство DNS, настройте корневые ссылки внутренних DNS-серверов на указание только тех DNS-серверов, в которых размещается внутренний корневой домен, а не DNS-серверов, содержащих корневой домен Интернета. |
|
|
Если сервер, на котором работает служба DNS-сервера, является контроллером домена, используйте списки управления доступом Active Directory (ACL), чтобы обеспечить безопасность управления доступом к службе DNS-сервера. |
Изменение уровня безопасности для службы DNS-сервера на контроллере домена |
|
Используйте только зоны DNS, интегрированные в доменные службы Active Directory. Зоны DNS, размещенные в доменных службах Active Directory, могут использовать преимущества функций безопасности Active Directory, такие как безопасное динамическое обновление и возможность применения параметров безопасности доменных служб Active Directory к DNS-серверам, зонам и записям ресурсов. Если зона DNS не хранится в доменных службах Active Directory, обеспечьте безопасность файла зоны DNS путем изменения разрешений для файла зоны DSN или для папки, в которой находятся файлы зоны. Разрешения для файла или папки зоны должны быть настроены таким образом, чтобы полный доступ был предоставлен только для группы «Система». По умолчанию файлы зоны хранятся в папке %systemroot%\System32\Dns. |
Общее представление об интеграции доменных служб Active Directory; Настройка DNS-сервера для использования совместно с доменными службами Active Directory |