DNS сигурност за Windows

DNS е доста проста услуга, но цялата мрежова инфраструктура зависи от нея, така че е много важно да се гарантира нейната сигурност. Въпреки че DNS е просто база данни с имена и номера, нападателят може да се добере до тази информация от хакната база данни. Някои атаки могат да бъдат извършени, за да се съберат данни от вашата база данни, за да се използва по-късно тази информация срещу вас, за да се изгради структура на това как изглежда вашата мрежа.

Други атаки се използват за добавяне на информация към вашата база данни с надеждата, че вашите DNS сървъри след това ще могат да разрешат имена, които не могат да разрешат при нормална нормална работа. Трябва да се грижите за вашата DNS инфраструктура и да я пазите от атаки, преди тези атаки да се случат и да е станало твърде късно.

сигурност
Фигура 1: DNS записи за първите компютри във вашия домейн на Active Directory

Защита на DNS в Active Directory

Първото решение, което трябва да вземете, е свързано с типа DNS база данни, която ще конфигурирате, за да поддържа вашия домейн на Active Directory. Можете да съхранявате информация в стандартна DNS база данни, която има първичен DNS сървър и вторични DNS сървъри, или можете да имате DNS базата данни, интегрирана в Active Directory, както е показано на Фигура 2.

зона
Фигура 2: DNS база данни може да бъде интегрирана в Active Directory

Силно се препоръчва вашите DNS сървъри да бъдат интегрирани в Active Directory, ако поддържат Windows Active Directory, поради ползите за сигурността, които получавате от това.получавам. Това също осигурява известна резервираност и стабилност за този тип DNS база данни, но в тази статия искаме да се съсредоточим върху аспектите на сигурността.

сигурност
Фигура 3: Интегрираната в AD DNS база данни може да бъде конфигурирана да извършва сигурни динамични актуализации

Извършване на динамични актуализации чрез DHCP

В средата на Windows имате опцията да конфигурирате DHCP за извършване на динамични актуализации на клиента. Това не е необходимо за компютри, работещи с операционни системи Windows 2000/XP/Server 2003/Vista, но е необходимо за компютри, работещи с операционна система Windows NT/9x. В някои случаи това е не само удобно, но и необходимо за актуализиране на DHCP сървъра на клиентските компютри.

Уловката с тази конфигурация е, че DHCP сървърите вече притежават записите, което не позволява на други DHCP сървъри или клиенти да актуализират записа в бъдеще. За да разрешите това, има групата DNSUpdateProxy. За да разрешите този проблем, добавете акаунтите на DHCP сървъра към тази група, което ще освободи DNS записите за тези клиенти от списъка за контрол на достъпа (ACL). Новият ACL ще включва удостоверени потребители, които ще имат способността да актуализират DNS записа за клиента. Това е предназначено да позволи на други DHCP сървъри или дори клиенти да могат да актуализират DNS записите за този клиент в бъдеще.

Сигурността при разрешаването на удостоверените потребители да актуализират клиента не е достатъчно лоша, но има друг проблем. Ако тизадайте DHCP на домейн контролера (домейн контролера) и след това добавете този компютър към групата, след което в резултат на това всички записи, направени от домейн контролера, ще имат едни и същи безплатни ACL. И тези записи за домейн контролери са толкова важни за сигурността и стабилността на Active Directory, че поддържането им защитени е един от основните интереси на вашата организация. Записите, които могат да бъдат изложени, включват Service Resource Records (SRV), които контролират как клиентите и сървърите намират услугите на Active Directory в рамките на мрежата. Това включва Kerberos, сайт, TCP, IP и много други SRV записи.

Така че решението на този проблем е да не настройвате DHCP на вашите домейн контролери. Ако имате инсталиран DHCP на вашия домейн контролер, най-добре е да попречите на тези DHCP сървъри да извършват динамични актуализации за клиенти. В противен случай можете да добавите несигурни настройки за домейн контролера в DNS.

Зонални трансфери

Когато става въпрос за DNS зони, трябва да сте наясно, че има различни типове зони, които трябва да заделите във вашата DNS среда. Въпреки че ще се съсредоточим само върху няколко от възможните зони, има списък със зони, които можете да посочите във вашия DNS:

• Интегрирана зона на Active Directory • Основна зона • Вторична зона • Пълна зона

В последната статия обсъдихме зона, интегрирана в Active Directory. В същото време интегрираната в Active Directory зона работи като основна зона. Причината за това беше, че в рамките на статията основната зона (първичната зона, както и интегрираната зона на Active Directory) -това е зоната, която произвежда записите в DNS базата данни. Вторичните зони не записват в DNS базата данни. Вторичните зони извършват само прехвърлянето на актуализации от първичните зони на основната DNS зона. Прехвърлянето на актуализации от основна зона към вторична зона се нарича прехвърляне на зона.

зона
Фигура 4: Интерфейс на зони за прехвърляне за Windows DNS

Осигуряване на сигурност при трансфер на зони

Можете също така да защитите трансферите на DNS зони на друго ниво. Защитата на DNS не е радикална концепция, повечето компании днес правят допълнителни корекции, за да осигурят трансфери на зони на DNS. Има няколко настройки за DNS сигурност и зони за прехвърляне. Всичко зависи от това как е конфигурирана вашата DNS среда.

Първо, трябва да използвате IPSec или VPN тунел между DNS сървъри, за да осигурите криптирана комуникация с DNS базата данни, докато тя пътува по мрежата. IPSec е много често срещан за връзки между DNS сървъри, които се намират в една и съща мрежа. Ако вашите DNS сървъри трябва да преминат през незащитена мрежа, тогава се използва VPN. Ако използвате VPN за защита на данните, преминаващи през незащитена мрежа, обикновено се използва L2TP. L2TP използва по-сигурен алгоритъм за криптиране, за да защити данните, изпратени по мрежата.