Soprattutto nel caso di server DNS (Domain Name System) che operano con Internet, è importante che l'infrastruttura DNS sia protetta da attacchi esterni o persino interni all'organizzazione. Il server DNS, se integrato con Servizi di dominio Active Directory, può essere configurato in modo da utilizzare aggiornamenti dinamici sicuri per impedire modifiche non autorizzate dei dati DNS. Per ridurre il rischio che un malintenzionato possa compromettere l'integrità dell'infrastruttura DNS è inoltre possibile adottare ulteriori misure.
| Attività | Riferimento |
|---|---|
|
Determinare quali sono i rischi di sicurezza DNS più significativi per il proprio ambiente e il livello di sicurezza necessario. |
|
|
Per evitare che utenti esterni all'azienda possano ottenere informazioni della rete interna, utilizzare server DNS separati per la risoluzione dei nomi interni e Internet. È consigliabile che lo spazio dei nomi DNS interno sia ospitato in server DNS protetti dal firewall della rete e che la propria presenza DNS Internet esterna venga gestita da un server DNS in una rete perimetrale. Per garantire la risoluzione dei nomi Internet per gli host interni, è possibile configurare i server DNS interni in modo che utilizzino un server d'inoltro per inviare query esterne al server DNS esterno. Configurare il router esterno e il firewall in modo da consentire il traffico DNS solo tra i server DNS interni ed esterni. |
|
|
Se per i server DNS della rete esposti a Internet è necessario che il trasferimento di zona sia attivato, limitare i trasferimenti di zona DNS ai server DNS identificati nella zona in base ai record di risorse server dei nomi (NS, Name Server) o a server DNS specifici nella rete. |
|
|
Se il server che esegue il servizio Server DNS è un computer multihomed, impostare il servizio Server DNS affinché resti in ascolto solo sull'indirizzo IP di interfaccia utilizzato dai relativi server interni e client DNS. In un server che opera come server proxy ad esempio possono essere presenti due schede di rete, una per la rete Intranet e una per Internet. Se tale server inoltre esegue il servizio Server DNS, sarà possibile configurare il servizio affinché resti in ascolto del traffico DNS solo sull'indirizzo IP utilizzato dalla scheda di rete per l'Intranet. |
Configurare i server multihomed; Impostare un server DNS per restare in ascolto solo su determinati indirizzi |
|
Verificare che non siano cambiate le opzioni server predefinite che proteggono le cache di tutti i server DNS da un utilizzo non autorizzato dei nomi. L'utilizzo non autorizzato dei nomi si verifica quando nelle risposte alle query DNS sono contenuti dati non autorevoli o dannosi. |
Proteggere la cache del server da un utilizzo non autorizzato dei nomi |
|
Consentire esclusivamente aggiornamenti dinamici sicuri per tutte le zone DNS. In questo modo solo gli utenti autenticati potranno inviare aggiornamenti DNS con un metodo sicuro, evitando così che un malintenzionato possa sferrare un attacco e assumere il controllo degli indirizzi IP di host attendibili. |
|
|
Disattivare la ricorsione nei server DNS che non rispondono direttamente ai client DNS e che non sono configurati con server d'inoltro. Un server DNS richiede la ricorsione solo se risponde a query ricorsive di client DNS o se è configurato con un server d'inoltro. I server DNS comunicano tra loro mediante query iterative. |
|
|
Se si dispone di uno spazio dei nomi DNS interno privato, configurare i parametri radice dei server DNS interni in modo da puntare solo ai server DNS che ospitano il dominio radice interno e non ai server DNS che ospitano il dominio radice di Internet. |
|
|
Se il server che esegue il servizio Server DNS è un controller di dominio, utilizzare gli elenchi di controllo di accesso (ACL, Access Control List) di Active Directory per proteggere il controllo di accesso del servizio. |
Modificare la sicurezza per il servizio Server DNS in un controller di dominio |
|
Utilizzare solo zone DNS integrate in Servizi di dominio Active Directory. Nelle zone DNS archiviate in Servizi di dominio Active Directory è possibile utilizzare le funzionalità di sicurezza di Active Directory, ad esempio gli aggiornamenti dinamici sicuri e la possibilità di applicare le impostazioni di sicurezza di Servizi di dominio Active Directory a server, zone e record di risorse DNS. Se una zona DNS non è archiviata in Servizi di dominio Active Directory, proteggere il file della zona DNS modificando le autorizzazioni per il file o per la cartella in cui è archiviato. Le autorizzazioni per il file della zona o per la relativa cartella devono essere configurate in modo da consentire il controllo completo solo al gruppo Sistema. Per impostazione predefinita, i file di zona sono archiviati nella cartella %systemroot%\System32\Dns. |
Informazioni sull'integrazione in Servizi di dominio Active Directory; Configurare un server DNS per l'utilizzo con Servizi di dominio Active Directory |