DNS服务器是域名系统或域名服务,域名系统为互联网上的主机分配域名和IP地址。用户使用域名和地址,
系统会自动将域名地址转换成IP地址。域名服务是运行域名系统的互联网工具。执行域名服务的服务器叫做DNS服务器,负责回答域名服务的查询。
DNS软件是黑客热衷攻击的目标,可能会带来安全问题。这里有几种保护DNS服务器的方法。
步骤/方法
禁用区域传输
区域转移发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权一个特定的域名,并有一个可重写的DNS区域文件,必要时可以更新。
从主DNS服务器接收来自DNS服务器的这些区域文件的只读副本。从属DNS服务器用于提高来自内部或互联网DNS查询的响应性能。
然而,区域传输并不仅仅针对从DNS服务器。任何可以发出DNS查询请求的人都可能导致DNS服务器配置更改,从而允许区域传输转储其自己的区域数据库文件。恶意用户可以使用这些信息来窥探组织内部的命名方案。
和攻击关键服务架构。您可以将DNS服务器配置为禁止区域传输请求,或者只允许组织中特定服务器的区域传输,以采取安全预防措施。
使DNS只使用安全连接。
许多DNS服务器接受动态更新。动态更新功能使这些DNS服务器能够记录使用DHCP的主机的主机名和IP地址。DDNS可以大大减少
减轻DNS管理员的管理成本,否则管理员必须手动配置这些主机的DNS资源记录。
但是,如果未被检测到的DDNS被更新,可能会带来严重的安全问题。恶意用户可以将主机配置为文件服务器、web服务器或数据库服务器的动态更新的DNS主机记录。
如果有人想连接这些服务器,就会被转移到其他机器上。
您可以通过要求与DNS服务器的安全连接来降低恶意DNS升级的风险并执行动态升级。这很容易做到,
您只需要配置您的DNS服务器来使用ActiveDirectoryIntegratedZones,并要求进行安全的动态升级。这样,所有域成员都可以安全、动态地更新他们的DNS信息。
使用防火墙控制DNS访问
防火墙可以用来控制谁可以连接到您的DNS服务器。对于那些只响应内部用户查询请求的DNS服务器,应该设置防火墙配置,防止外部主机连接到这些DNS服务器。对于用作仅缓存转发器的DNS服务器,
应该将防火墙配置为只允许来自使用仅缓存转发器的DNS服务器的查询请求。防火墙策略设置的一个重点是防止内部用户使用DNS协议连接到外部DNS服务器。
在DNS注册表中建立访问控制
在基于Windows的DNS服务器中,您应该在与DNS服务器相关的注册表中设置访问控制,以便只有那些需要访问权限的帐户才能读取或修改这些注册表设置。
HKLMCurrentControlSetServicesDNS项应该只允许管理员和系统帐户访问,这些帐户应该具有完全控制权限。
在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件。
%system_directory%DNS文件夹及子文件夹应该仅仅允许系统帐户访问,系统帐户应该拥有完全控制权限。