DNS изначально был разработан как открытый протокол. Поэтому он уязвим для атак злоумышленников. Служба DNS в Windows Server 2008 способствует предотвращению атак инфраструктуры DNS с помощью дополнительных функциональных возможностей безопасности. Прежде чем решить, какую функциональную возможность безопасности стоит использовать, необходимо ознакомиться с основными угрозами безопасности DNS и уровнем безопасности DNS в определенной организации.
Угрозы безопасности DNS
Ниже приведены стандартные методы, угрожающие инфраструктуре DNS, которые могут быть использованы злоумышленниками:
- Отпечаток. Процесс получения
злоумышленником данных зоны DNS, включая DNS-имена домена, имена
компьютеров, IP-адреса уязвимых сетевых ресурсов. Как правило,
злоумышленник начинает атаку, используя DNS-данные для получения
схемы или «отпечатка» сети. DNS-имена доменов и компьютеров обычно
указывают функцию или расположения домена или компьютера, чтобы
пользователи могли с легкостью запоминать и идентифицировать домены
и компьютеры. Злоумышленник пользуется тем же принципом, чтобы
получить сведения о функциях и местоположении доменов и компьютеров
в сети.
- Атака по типу «отказ в обслуживании».
Попытка злоумышленника устранить доступность сетевых ресурсов путем
переполнения одного или нескольких DNS-серверов в сети рекурсивными
запросами. Если DNS-сервер переполнен запросами, использование
центрального процессора достигает максимальных значений, и служба
DNS-сервера становится недоступной. Без полностью рабочего
DNS-сервера в сети сетевые службы, использующие службу DNS,
становятся недоступными для сетевых пользователей.
- Изменение данных. Попытка
злоумышленника (который уже сделал отпечаток сети с помощью DNS)
использовать допустимые IP-адреса в IP-пакетах, созданных им же
самим, чтобы создавалось впечатление происхождения этих пакетов от
допустимого IP-адреса в сети. Как правило, это называется подделкой
IP-адреса. Используя допустимый IP-адрес (IP-адрес, находящийся в
диапазоне адресов подсети), злоумышленник может получить доступ к
сети и уничтожить данные или произвести другие вредоносные
действия.
- Перенаправление. Злоумышленник
переадресует запросы DNS-имен на серверы, находящиеся под его
управлением. Одним из методов перенаправления является попытка
повредить кэш DNS на DNS-сервере с помощью ошибочных DNS-данных,
которые могут перенаправить будущие запросы на серверы, находящиеся
под управлением злоумышленника. Например, если запрос был сделан
для разрешения имени widgets.tailspintoys.com, а ответ содержит
запись для имени, находящегося вне домена tailspintoys.com,
например в домене malicious-user.com, DNS-сервер использует данные
в кэше для malicious-user.com, чтобы разрешить запрос на это имя.
Злоумышленники могут использовать перенаправление в том случае,
если они имеют доступ к данным DNS с правом на запись, например,
если динамические обновления не являются безопасными.
Уменьшение угроз безопасности DNS
Служба DNS может быть настроена таким образом, чтобы уменьшить возможность возникновения угроз безопасности DNS. В следующей таблице приведены пять основных областей, на которые следует обратить внимание при обеспечении безопасности DNS.
Область безопасности DNS | Описание |
---|---|
Пространство имен DNS |
Учитывайте безопасность DNS при планировании пространства имен DNS. Дополнительные сведения см. в разделе Обеспечение безопасности развертывания DNS. |
Служба DNS-сервера |
Просмотрите параметры безопасности службы DNS-сервера по умолчанию и примените функциональные возможности безопасности Active Directory, если служба DNS-сервера работает на контроллере домена. Дополнительные сведения см. в разделе Обеспечение безопасности службы DNS-сервера. |
Зоны DNS |
Просмотрите параметры безопасности зон DNS по умолчанию и примените функциональные возможности безопасности динамических обновлений и Active Directory, если зона DNS находится на контроллере домена. Дополнительные сведения см. в разделе Обеспечение безопасности зон DNS. |
Записи ресурсов |
Просмотрите параметры безопасности записей ресурсов DNS по умолчанию и примените функциональные возможности безопасности Active Directory, если записи ресурсов DNS содержатся на контроллере домена. Дополнительные сведения см. в разделе Обеспечение безопасности записей ресурсов DNS. |
DNS-клиенты |
Управляйте IP-адресами DNS-серверов, которые будут использоваться DNS-клиентами. Дополнительные сведения см. в разделе Обеспечение безопасности DNS-клиентов. |
Три уровня безопасности DNS
В следующих разделах описаны три уровня безопасности DNS.
Низкий уровень безопасности
Низкий уровень безопасности - это стандартное развертывание DNS без каких-либо настроенных функций безопасности. Используйте этот уровень безопасности DNS только в тех сетях, где нет сомнений в целостности данных DNS, или в частных сетях, где отсутствует вероятность внешнего подключения. Ниже приведены характеристики низкого уровня безопасности DNS:
- Инфраструктура DNS организации полностью
открыта для доступа через Интернет.
- Стандартное разрешение DNS-имен выполняется
всеми DNS-серверами в сети.
- Все DNS-серверы имеют настроенные корневые
ссылки, указывающие на корневые серверы в Интернете.
- Все DNS-серверы разрешают передачи зоны для
любого сервера.
- Все DNS-серверы настроены на прослушивание
всех своих IP-адресов.
- На всех DNS-серверах отключено предотвращение
повреждений кэша.
- Динамические обновления разрешены для всех
зон DNS.
- Порт 53 для протоколов UDP и TCP/IP открыт на
брандмауэре в сети как для исходных, так и для конечных
адресов.
Средний уровень безопасности
При среднем уровне безопасности используются функциональные возможности безопасности DNS, доступные в том случае, если DNS-серверы работают не на контроллерах домена, а зоны DNS хранятся в доменных службах Active Directory. Ниже приведены характеристики среднего уровня безопасности DNS:
- Инфраструктура DNS организации ограниченно
открыта для доступа через Интернет.
- Все DNS-серверы настроены на использование
серверов пересылок - определенного списка внутренних DNS-серверов,
к которым идет обращение, если имена невозможно разрешить
локально.
- Все DNS-серверы ограничивают передачи зон
только для серверов, указанных в записях ресурсов сервера имен (NS)
в их зонах.
- DNS-серверы настроены на прослушивание только
определенных IP-адресов.
- На всех DNS-серверах включено предотвращение
повреждений кэша.
- Небезопасные динамические обновления не
разрешены для любых зон DNS.
- Внутренние DNS-серверы связываются с внешними
DNS-серверами только через брандмауэр с ограниченным списком
допустимых адресов источников и назначений.
- Внешние DNS-серверы, не защищенные
брандмауэром, настроены для использования корневых ссылок,
указывающих на корневые серверы Интернета.
- Все разрешение имен Интернета происходит с
использованием прокси-серверов и шлюзов.
Высокий уровень безопасности
При высоком уровне безопасности используется та же конфигурация, что и при среднем уровне. Также используются функциональные возможности безопасности, доступные при работе службы DNS-сервера на контроллере домена и при хранении зон DNS в доменных службах Active Directory. Кроме того, использование высокого уровня безопасности полностью устраняет связь службы DNS с Интернетом. Эта конфигурация не является обычной, но она рекомендуется, если связи с Интернетом не требуется. Ниже приведены характеристики высокого уровня безопасности DNS:
- Внутренние DNS-серверы в инфраструктуре DNS
организации не имеют доступа к Интернету.
- В сети используется внутренний корень и
пространство имен DNS, где все полномочия для зон DNS являются
внутренними.
- DNS-серверы, на которых указаны серверы
пересылки, используют только внутренние IP-адреса DNS-серверов.
- Все DNS-серверы ограничивают передачи зон
только на определенные IP-адреса.
- DNS-серверы настроены на прослушивание только
определенных IP-адресов.
- На всех DNS-серверах включено предотвращение
повреждений кэша.
- Внутренние DNS-серверы имеют корневые ссылки,
указывающие на внутренние DNS-серверы, которые содержат корневую
зону для внутреннего пространства имен.
- Все DNS-серверы работают на контроллерах
домена. Список DACL настроен в службе DNS-сервера, разрешая
выполнение задач администрирования на DNS-сервере только для
определенных пользователей.
- Все зоны DNS размещены в доменных службах
Active Directory. Список DACL настроен для разрешения создания,
удаления и изменения зон DNS только для определенных
пользователей.
- Списки DACL настроены для записей ресурсов
DNS, разрешая создание, удаление и изменение данных DNS только для
определенных пользователей.
- Безопасное динамическое обновление настроено
для зон DNS, кроме корневых зон и зон верхнего уровня, которые не
поддерживают динамические обновления.