Il DNS (Domain Name System) è stato progettato originariamente come protocollo aperto e in quanto tale è vulnerabile a eventuali attacchi. Nel DNS di Windows Server 2008 sono tuttavia state aggiunte funzionalità di sicurezza che consentono di difendersi meglio da attacchi all'infrastruttura DNS. Prima di valutare quali funzionalità di sicurezza utilizzare, è consigliabile conoscere i rischi di sicurezza più comuni per il DNS e il livello di sicurezza DNS della propria organizzazione.
Rischi per la sicurezza DNS
Di seguito vengono descritte le tipiche minacce a cui l'infrastruttura DNS può essere esposta:
-
Footprinting: processo mediante il quale l'autore di un attacco ottiene i dati delle zone DNS in modo da risalire ai nomi di dominio, ai nomi computer e agli indirizzi IP DNS delle risorse di rete critiche. Il malintenzionato in genere fa partire l'attacco utilizzando questi dati DNS per creare un diagramma, o "footprint", di una rete. I nomi di dominio e i nomi computer DNS in genere indicano la funzione o la posizione di un dominio o di un computer per consentire agli utenti di ricordare e identificare più facilmente i domini e i computer. L'autore dell'attacco sfrutta lo stesso principio DNS per ottenere informazioni sulla funzione o sulla posizione dei domini e dei computer della rete.
-
Attacco Denial of Service: tentativo da parte di un malintenzionato di negare la disponibilità dei servizi di rete sovraccaricando uno o più server DNS della rete con query ricorsive. Quando un server DNS viene sovraccaricato di query, l'utilizzo della CPU man mano raggiunge il livello massimo e il servizio Server DNS non è più disponibile. Senza un server DNS completamente funzionante nella rete, i servizi di rete che utilizzano il DNS non sono più disponibili per gli utenti della rete.
-
Modifica di dati: tentativo da parte di un malintenzionato che, dopo aver eseguito il footprinting di una rete con il DNS, utilizza indirizzi IP validi in pacchetti IP creati direttamente da lui, che sembrano così provenire da un indirizzo IP valido della rete. Questa operazione in genere è conosciuta come spoofing IP. Con un indirizzo IP valido, ovvero un indirizzo IP compreso nell'intervallo di indirizzi IP di una subnet, l'autore dell'attacco può accedere alla rete e distruggere i dati o procedere con altri attacchi.
-
Reindirizzamento: reindirizzamento delle query relative ai nomi DNS a server controllati dall'autore dell'attacco. Un metodo di reindirizzamento consiste nel tentativo di eseguire accessi non autorizzati nella cache DNS di un server DNS per inserire dati DNS errati in grado di indirizzare le query future a server controllati dal malintenzionato. Se ad esempio inizialmente viene eseguita una query relativa a widgets.tailspintoys.com e una risposta di riferimento fornisce un record relativo a un nome esterno al dominio tailspintoys.com, ad esempio utente-malintenzionato.com, il server DNS utilizzerà i dati memorizzati nella cache relativi a utente-malintenzionato.com per risolvere una query per tale nome. Gli autori di attacchi possono eseguire il reindirizzamento in tutti i casi in cui dispongono dell'accesso in scrittura a dati DNS, ad esempio se gli aggiornamenti dinamici non sono sicuri.
Attenuare i rischi per la sicurezza DNS
Il DNS può essere configurato in modo da attenuare questi rischi di sicurezza DNS comuni. Nella tabella seguente vengono elencate cinque aree principali su cui concentrarsi per migliorare la sicurezza DNS.
| Area di sicurezza DNS | Descrizione |
|---|---|
|
Spazio dei nomi DNS |
Incorporare la sicurezza DNS nella struttura dello spazio dei nomi DNS. Per ulteriori informazioni, vedere Proteggere la distribuzione DNS. |
|
Servizio Server DNS |
Controllare le impostazioni di sicurezza predefinite del servizio Server DNS e applicare le funzionalità di sicurezza di Active Directory quando il servizio Server DNS viene eseguito in un controller di dominio. Per ulteriori informazioni, vedere Proteggere il servizio Server DNS. |
|
Zone DNS |
Controllare le impostazioni di sicurezza predefinite delle zone DNS e applicare aggiornamenti dinamici sicuri e le funzionalità di sicurezza di Active Directory quando la zona DNS è ospitata in un controller di dominio. Per ulteriori informazioni, vedere Proteggere le zone DNS. |
|
Record di risorse DNS |
Controllare le impostazioni di sicurezza predefinite dei record di risorse DNS e applicare le funzionalità di sicurezza di Active Directory quando i record di risorse DNS vengono ospitati in un controller di dominio. Per ulteriori informazioni, vedere Proteggere i record di risorse DNS. |
|
Client DNS |
Specificare gli indirizzi IP dei server DNS utilizzati dai client DNS. Per ulteriori informazioni, vedere Proteggere i client DNS. |
Tre livelli di sicurezza DNS
Nelle sezioni seguenti vengono descritti i tre livelli di sicurezza DNS.
Sicurezza di livello basso
La sicurezza di livello basso è una distribuzione DNS standard senza misure di sicurezza configurate. Distribuire questo livello di sicurezza DNS solo in ambienti di rete in cui non è importante preservare l'integrità dei dati DNS o in una rete interna non esposta al rischio di connettività esterna. La sicurezza DNS di livello basso ha le caratteristiche seguenti:
-
L'infrastruttura DNS dell'organizzazione è completamente esposta a Internet.
-
La risoluzione DNS standard viene eseguita da tutti i server DNS della rete.
-
Tutti i server DNS sono configurati con parametri radice che puntano ai server radice di Internet.
-
Tutti i server DNS consentono i trasferimenti di zona per qualsiasi server.
-
Tutti i server DNS sono configurati per restare in ascolto su tutti gli indirizzi IP.
-
La protezione della cache da accessi non autorizzati è disattivata in tutti i server DNS.
-
Gli aggiornamenti dinamici sono consentiti per tutte le zone DNS.
-
La porta UDP (User Datagram Protocol) e TCP/IP 53 è aperta nel firewall della rete per gli indirizzi di origine e di destinazione.
Sicurezza di livello medio
La sicurezza di livello medio utilizza le funzionalità di sicurezza DNS disponibili senza eseguire i server DNS nei controller di dominio e senza archiviare le zone DNS in Servizi di dominio Active Directory. La sicurezza DNS di livello medio ha le caratteristiche seguenti:
-
L'infrastruttura DNS dell'organizzazione è esposta a Internet in modo limitato.
-
Tutti i server DNS sono configurati in modo da utilizzare server d'inoltro che puntano a un elenco specifico di server DNS interni quando i nomi non possono essere risolti localmente.
-
Tutti i server DNS limitano i trasferimenti di zona ai server elencati nei record di risorse server dei nomi (NS) nelle relative zone.
-
I server DNS sono configurati per restare in ascolto su determinati indirizzi IP.
-
La protezione della cache da accessi non autorizzati è attivata in tutti i server DNS.
-
Gli aggiornamenti dinamici non sicuri non sono consentiti per le zone DNS.
-
I server DNS interni comunicano con i server DNS esterni attraverso il firewall con un elenco limitato di indirizzi di origine e di destinazione consentiti.
-
I server DNS esterni davanti al firewall sono configurati con parametri radice che puntano ai server radice di Internet.
-
L'intero processo di risoluzione dei nomi Internet viene eseguito utilizzando server proxy e gateway.
Sicurezza di livello alto
La sicurezza di livello alto si basa sulla stessa configurazione della sicurezza di livello medio. Vengono inoltre utilizzate le funzionalità di sicurezza disponibili quando il servizio Server DNS viene eseguito in un controller di dominio e le zone DNS vengono archiviate in Servizi di dominio Active Directory. La sicurezza di livello alto inoltre elimina completamente le comunicazioni DNS con Internet. Questa non è una configurazione tipica, ma è consigliata se la connettività Internet non è necessaria. La sicurezza DNS di livello alto ha le caratteristiche seguenti:
-
L'infrastruttura DNS dell'organizzazione non può comunicare con Internet tramite i server DNS interni.
-
Nella rete vengono utilizzati una radice e uno spazio dei nomi DNS interni, in cui l'autorità per le zone DNS è esclusivamente interna.
-
I server DNS configurati con server d'inoltro utilizzano solo indirizzi IP di server DNS interni.
-
Tutti i server DNS limitano i trasferimenti di zona a determinati indirizzi IP.
-
I server DNS sono configurati per restare in ascolto su determinati indirizzi IP.
-
La protezione della cache da accessi non autorizzati è attivata in tutti i server DNS.
-
I server DNS interni sono configurati con parametri radice che puntano ai server DNS interni che ospitano la zona radice dello spazio dei nomi interno.
-
Tutti i server DNS vengono eseguiti in controller di dominio. Nel servizio Server DNS è configurato un elenco di controllo di accesso discrezionale (DACL, Discretionary Access Control List) per consentire solo a determinati individui di svolgere attività di amministrazione nel server DNS.
-
Tutte le zone DNS sono archiviate in Servizi di dominio Active Directory. È configurato un elenco DACL per consentire solo a determinati individui di creare, eliminare o modificare zone DNS.
-
Nei record di risorse DNS sono configurati elenchi DACL per consentire solo a determinati individui di creare, eliminare o modificare dati DNS.
-
Gli aggiornamenti dinamici sicuri sono configurati per tutte le zone DNS, ad eccezione delle zone di primo livello e delle zone radice, in cui non sono consentiti aggiornamenti dinamici di alcun tipo.