DNS изначально был разработан как открытый протокол. Поэтому он уязвим для атак злоумышленников. Служба DNS в Windows Server 2008 способствует предотвращению атак инфраструктуры DNS с помощью дополнительных функциональных возможностей безопасности. Прежде чем решить, какую функциональную возможность безопасности стоит использовать, необходимо ознакомиться с основными угрозами безопасности DNS и уровнем безопасности DNS в определенной организации.

Угрозы безопасности DNS

Ниже приведены стандартные методы, угрожающие инфраструктуре DNS, которые могут быть использованы злоумышленниками:

  • Отпечаток. Процесс получения злоумышленником данных зоны DNS, включая DNS-имена домена, имена компьютеров, IP-адреса уязвимых сетевых ресурсов. Как правило, злоумышленник начинает атаку, используя DNS-данные для получения схемы или «отпечатка» сети. DNS-имена доменов и компьютеров обычно указывают функцию или расположения домена или компьютера, чтобы пользователи могли с легкостью запоминать и идентифицировать домены и компьютеры. Злоумышленник пользуется тем же принципом, чтобы получить сведения о функциях и местоположении доменов и компьютеров в сети.

  • Атака по типу «отказ в обслуживании». Попытка злоумышленника устранить доступность сетевых ресурсов путем переполнения одного или нескольких DNS-серверов в сети рекурсивными запросами. Если DNS-сервер переполнен запросами, использование центрального процессора достигает максимальных значений, и служба DNS-сервера становится недоступной. Без полностью рабочего DNS-сервера в сети сетевые службы, использующие службу DNS, становятся недоступными для сетевых пользователей.

  • Изменение данных. Попытка злоумышленника (который уже сделал отпечаток сети с помощью DNS) использовать допустимые IP-адреса в IP-пакетах, созданных им же самим, чтобы создавалось впечатление происхождения этих пакетов от допустимого IP-адреса в сети. Как правило, это называется подделкой IP-адреса. Используя допустимый IP-адрес (IP-адрес, находящийся в диапазоне адресов подсети), злоумышленник может получить доступ к сети и уничтожить данные или произвести другие вредоносные действия.

  • Перенаправление. Злоумышленник переадресует запросы DNS-имен на серверы, находящиеся под его управлением. Одним из методов перенаправления является попытка повредить кэш DNS на DNS-сервере с помощью ошибочных DNS-данных, которые могут перенаправить будущие запросы на серверы, находящиеся под управлением злоумышленника. Например, если запрос был сделан для разрешения имени widgets.tailspintoys.com, а ответ содержит запись для имени, находящегося вне домена tailspintoys.com, например в домене malicious-user.com, DNS-сервер использует данные в кэше для malicious-user.com, чтобы разрешить запрос на это имя. Злоумышленники могут использовать перенаправление в том случае, если они имеют доступ к данным DNS с правом на запись, например, если динамические обновления не являются безопасными.

Уменьшение угроз безопасности DNS

Служба DNS может быть настроена таким образом, чтобы уменьшить возможность возникновения угроз безопасности DNS. В следующей таблице приведены пять основных областей, на которые следует обратить внимание при обеспечении безопасности DNS.

Область безопасности DNS Описание

Пространство имен DNS

Учитывайте безопасность DNS при планировании пространства имен DNS. Дополнительные сведения см. в разделе Обеспечение безопасности развертывания DNS.

Служба DNS-сервера

Просмотрите параметры безопасности службы DNS-сервера по умолчанию и примените функциональные возможности безопасности Active Directory, если служба DNS-сервера работает на контроллере домена. Дополнительные сведения см. в разделе Обеспечение безопасности службы DNS-сервера.

Зоны DNS

Просмотрите параметры безопасности зон DNS по умолчанию и примените функциональные возможности безопасности динамических обновлений и Active Directory, если зона DNS находится на контроллере домена. Дополнительные сведения см. в разделе Обеспечение безопасности зон DNS.

Записи ресурсов

Просмотрите параметры безопасности записей ресурсов DNS по умолчанию и примените функциональные возможности безопасности Active Directory, если записи ресурсов DNS содержатся на контроллере домена. Дополнительные сведения см. в разделе Обеспечение безопасности записей ресурсов DNS.

DNS-клиенты

Управляйте IP-адресами DNS-серверов, которые будут использоваться DNS-клиентами. Дополнительные сведения см. в разделе Обеспечение безопасности DNS-клиентов.

Три уровня безопасности DNS

В следующих разделах описаны три уровня безопасности DNS.

Низкий уровень безопасности

Низкий уровень безопасности - это стандартное развертывание DNS без каких-либо настроенных функций безопасности. Используйте этот уровень безопасности DNS только в тех сетях, где нет сомнений в целостности данных DNS, или в частных сетях, где отсутствует вероятность внешнего подключения. Ниже приведены характеристики низкого уровня безопасности DNS:

  • Инфраструктура DNS организации полностью открыта для доступа через Интернет.

  • Стандартное разрешение DNS-имен выполняется всеми DNS-серверами в сети.

  • Все DNS-серверы имеют настроенные корневые ссылки, указывающие на корневые серверы в Интернете.

  • Все DNS-серверы разрешают передачи зоны для любого сервера.

  • Все DNS-серверы настроены на прослушивание всех своих IP-адресов.

  • На всех DNS-серверах отключено предотвращение повреждений кэша.

  • Динамические обновления разрешены для всех зон DNS.

  • Порт 53 для протоколов UDP и TCP/IP открыт на брандмауэре в сети как для исходных, так и для конечных адресов.

Средний уровень безопасности

При среднем уровне безопасности используются функциональные возможности безопасности DNS, доступные в том случае, если DNS-серверы работают не на контроллерах домена, а зоны DNS хранятся в доменных службах Active Directory. Ниже приведены характеристики среднего уровня безопасности DNS:

  • Инфраструктура DNS организации ограниченно открыта для доступа через Интернет.

  • Все DNS-серверы настроены на использование серверов пересылок - определенного списка внутренних DNS-серверов, к которым идет обращение, если имена невозможно разрешить локально.

  • Все DNS-серверы ограничивают передачи зон только для серверов, указанных в записях ресурсов сервера имен (NS) в их зонах.

  • DNS-серверы настроены на прослушивание только определенных IP-адресов.

  • На всех DNS-серверах включено предотвращение повреждений кэша.

  • Небезопасные динамические обновления не разрешены для любых зон DNS.

  • Внутренние DNS-серверы связываются с внешними DNS-серверами только через брандмауэр с ограниченным списком допустимых адресов источников и назначений.

  • Внешние DNS-серверы, не защищенные брандмауэром, настроены для использования корневых ссылок, указывающих на корневые серверы Интернета.

  • Все разрешение имен Интернета происходит с использованием прокси-серверов и шлюзов.

Высокий уровень безопасности

При высоком уровне безопасности используется та же конфигурация, что и при среднем уровне. Также используются функциональные возможности безопасности, доступные при работе службы DNS-сервера на контроллере домена и при хранении зон DNS в доменных службах Active Directory. Кроме того, использование высокого уровня безопасности полностью устраняет связь службы DNS с Интернетом. Эта конфигурация не является обычной, но она рекомендуется, если связи с Интернетом не требуется. Ниже приведены характеристики высокого уровня безопасности DNS:

  • Внутренние DNS-серверы в инфраструктуре DNS организации не имеют доступа к Интернету.

  • В сети используется внутренний корень и пространство имен DNS, где все полномочия для зон DNS являются внутренними.

  • DNS-серверы, на которых указаны серверы пересылки, используют только внутренние IP-адреса DNS-серверов.

  • Все DNS-серверы ограничивают передачи зон только на определенные IP-адреса.

  • DNS-серверы настроены на прослушивание только определенных IP-адресов.

  • На всех DNS-серверах включено предотвращение повреждений кэша.

  • Внутренние DNS-серверы имеют корневые ссылки, указывающие на внутренние DNS-серверы, которые содержат корневую зону для внутреннего пространства имен.

  • Все DNS-серверы работают на контроллерах домена. Список DACL настроен в службе DNS-сервера, разрешая выполнение задач администрирования на DNS-сервере только для определенных пользователей.

  • Все зоны DNS размещены в доменных службах Active Directory. Список DACL настроен для разрешения создания, удаления и изменения зон DNS только для определенных пользователей.

  • Списки DACL настроены для записей ресурсов DNS, разрешая создание, удаление и изменение данных DNS только для определенных пользователей.

  • Безопасное динамическое обновление настроено для зон DNS, кроме корневых зон и зон верхнего уровня, которые не поддерживают динамические обновления.