V případě serverů DNS (Domain Name System) přístupných z Internetu je důležité zajistit, aby byla infrastruktura DNS zabezpečena vůči útokům zvenčí a také zevnitř organizace. U serveru DNS, který je integrován se službou AD DS (Active Directory Domain Services), lze použít zabezpečené dynamické aktualizace, které zabraňují neoprávněným úpravám dat DNS. Pomocí dodatečných kroků můžete dále omezit šance útočníka na poškození integrity infrastruktury DNS.
| Úloha | Odkaz |
|---|---|
|
Zjištění nejvýznamnějších bezpečnostních hrozeb systému DNS v daném prostředí a určení požadované úrovně zabezpečení |
|
|
Chcete-li osobám mimo organizaci znemožnit získání informací o interní síti, použijte samostatné servery DNS pro překlad interních a internetových názvů. Interní obor názvů DNS by měl být hostován na serverech DNS umístěných za bránou firewall sítě. Externí systém DNS přístupný z Internetu by měl být spravován pomocí serveru DNS v hraniční síti. Pokud chcete interním hostitelům poskytnout překlad internetových názvů, můžete interní servery DNS použít jako servery pro předávání, které odesílají externí dotazy externímu serveru DNS. Externí směrovač a bránu firewall nakonfigurujte tak, aby byly povoleny pouze přenosy DNS mezi interními a externími servery DNS. |
|
|
Pokud musí být u serverů DNS v síti, které jsou vystaveny v Internetu, povolen přenos zóny, omezte přenosy zóny DNS buď na servery DNS identifikované v zóně pomocí záznamů prostředku názvového serveru (NS), nebo na konkrétní servery DNS v síti. |
|
|
Pokud je server, na kterém běží služba Server DNS, počítačem s více adresami, omezte službu Server DNS tak, aby naslouchala pouze na adrese IP rozhraní, které používají jeho klienti DNS a interní servery. V serveru plnícím roli proxy serveru mohou být například nainstalovány dva síťové adaptéry; jeden pro intranet a druhý pro Internet. Pokud na tomto serveru běží také služba Server DNS, můžete tuto službu nakonfigurovat tak, aby naslouchala přenosům DNS pouze na adrese IP, kterou používá síťový adaptér pro intranet. |
Konfigurace serverů s více adresami; Omezení serveru DNS pro naslouchání pouze na vybraných adresách |
|
Ověřte, zda výchozí možnosti serveru, které zabezpečují mezipaměti všech serverů DNS proti narušení, nebyly změněny. K narušení názvů dojde, pokud odpovědi na dotazy DNS obsahují neautoritativní nebo škodlivá data. |
|
|
Pro všechny zóny DNS povolte pouze zabezpečené dynamické aktualizace. Aktualizace DNS tak budou moci posílat pouze ověření uživatelé pomocí zabezpečené metody, což útočníkovi znemožní získání adres IP důvěryhodných hostitelů. |
|
|
Zakažte rekurzi na serverech DNS, které neodpovídají klientům DNS přímo, a které nejsou nakonfigurovány jako servery pro předávání. Server DNS vyžaduje rekurzi pouze v případě, že odpovídá na rekurzivní dotazy od klientů DNS nebo je nakonfigurován jako server pro předávání. Servery DNS používají k vzájemné komunikaci iterační dotazy. |
|
|
Jestliže používáte privátní interní obor názvů DNS, nakonfigurujte odkazy na kořenové servery na interních serverech DNS tak, aby odkazovaly pouze na servery DNS hostující interní kořenovou doménu a nikoli na servery DNS hostující internetovou kořenovou doménu. |
|
|
Jestliže je server, na kterém běží služba Server DNS, řadičem domény, pomocí seznamů řízení přístupu (ACL) služby Active Directory zabezpečte řízení přístupu služby Server DNS. |
|
|
Používejte pouze zóny DNS s integrovanou službou AD DS. Zóny DNS, které jsou uloženy ve službě AD DS, mohou využívat funkce zabezpečení služby Active Directory, jako je zabezpečená dynamická aktualizace a možnost použití nastavení zabezpečení služby AD DS na servery, zóny a záznamy prostředků DNS. Pokud některá zóna DNS není uložena ve službě AD DS, zabezpečte soubor zóny DNS úpravou oprávnění tohoto souboru nebo složky, ve které jsou uloženy soubory zón. Oprávnění k úplnému řízení souboru zóny nebo složky by měla mít pouze skupina System. Soubory zón jsou ve výchozím nastavení uloženy ve složce %systemroot%\System32\Dns. |
Principy integrace služby AD DS (Active Directory Domain Services); Konfigurace serveru DNS pro spolupráci se službou AD DS (Active Directory Domain Services) |