DNS (Domain Name System) is in eerste instantie ontworpen als een open protocol. Het is daardoor gevoelig voor misbruik. Met behulp van de aanvullende beveiligingsfuncties van Windows Server 2008 DNS kunt u de bescherming tegen aanvallen op uw DNS-infrastructuur verbeteren. Voordat u beslist welke beveiligingsfuncties u moet gebruiken, moet u weten door welke gangbare gevaren DNS-beveiliging wordt bedreigd en wat het niveau van de DNS-beveiliging is die in uw organisatie wordt toegepast.

Gevaren die DNS-beveiliging bedreigen

Hier volgt een overzicht van de gangbare gevaren die uw DNS-infrastructuur bedreigen:

  • Footprinting: hierbij probeert een kwaadwillige gebruiker gegevens over de DNS-zone te verkrijgen, zoals de DNS-domeinnamen, computernamen en IP-adressen van belangrijke netwerkbronnen. Met behulp van deze DNS-gegevens kan een kwaadwillige gebruiker het netwerk in kaart brengen. DNS-domeinennamen en computernamen houden meestal verband met de functie of de locatie van de domeinen of de computers in kwestie. Op die manier kunnen gebruikers de domeinen en computers makkelijker herkennen. Een kwaadwillige gebruiker maakt misbruik van dit principe om informatie te vergaren over de functie of locatie van domeinen en computers in het netwerk.

  • Denial-Of-Service-aanval: hierbij probeert een kwaadwillige gebruiker de beschikbare netwerkservice te blokkeren door een of meer DNS-servers in het netwerk te overspoelen met recursieve query's. Wanneer een DNS-server wordt overspoeld met query's, raakt de CPU op een gegeven overbelast en is de DNS Server-service niet meer beschikbaar. Wanneer de DNS-server in het netwerk niet meer naar behoren functioneert, zijn netwerkservices op basis van DNS niet meer beschikbaar voor de netwerkgebruikers.

  • Manipulatie van gegevens: hierbij probeert een kwaadwillige gebruiker (die het netwerk eerst via DNS in kaart heeft gebracht) geldige IP-adressen te gebruiken in IP-pakketten van eigen makelij. Hierdoor lijkt het alsof deze pakketten afkomstig zijn van een geldig IP-adres in het netwerk. Dit noemt men ook wel IP-adresvervalsing of spoofing. Via een geldig IP-adres (een IP-adres uit het IP-adresbereik van een subnet) kan een kwaadwillige gebruiker zich toegang verschaffen tot het netwerk en gegevens wissen of andere aanvallen uitvoeren.

  • Omleiding: hierbij leidt een kwaadwillige gebruiker DNS-naamquery's om naar servers onder zijn beheer. Hiertoe kan de gebruiker de DNS-cache van een DNS-server vervuilen met foutieve DNS-gegevens aan de hand waarvan toekomstige query's kunnen worden omgeleid naar servers onder zijn beheer. Als er in eerste instantie een query wordt verzonden voor de naam dingetjes.leukespeeltjes.nl en in het verwijzingsantwoord een record is opgenomen voor een naam buiten het domein leukespeeltjes.nl, bijvoorbeeld kwaadwillige-gebruiker.nl, wordt in de cachegegevens van de DNS-server gezocht naar kwaadwillige-gebruiker.nl. Kwaadwillige gebruikers kunnen query's omleiden als ze schrijftoegang hebben tot DNS-gegevens, wat bijvoorbeeld het geval is wanneer dynamische updates niet zijn beveiligd.

DNS-beveiliging verbeteren

U kunt de beveiliging van DNS verbeteren door gepaste maatregelen te nemen. De volgende tabel bevat een overzicht van de vijf aspecten van DNS-beveiliging waarop u zich kunt concentreren.

Aspect van DNS-beveiliging Beschrijving

DNS-naamruimte

Verwerk DNS-beveiliging in het ontwerp van de gebruikte DNS-naamruimte. Zie DNS-implementaties beveiligen voor meer informatie.

DNS Server-service

Bekijk de standaardbeveiligingsinstellingen voor de DNS Server-service en pas Active Directory-beveiligingsfuncties toe wanneer de DNS Server-service op een domeincontroller wordt uitgevoerd. Zie De DNS Server-service beveiligen voor meer informatie.

DNS-zones

Bekijk de standaardbeveiligingsinstellingen voor de DNS-zone, en pas beveiligde dynamische updates en Active Directory-beveiligingsfuncties toe wanneer de DNS-zone is ondergebracht op een domeincontroller. Zie DNS-zones beveiligen voor meer informatie.

DNS-bronrecords

Bekijk de standaardbeveiligingsinstellingen voor de DNS-bronrecords en pas Active Directory-beveiligingsfuncties toe wanneer de DNS-bronrecords zijn ondergebracht op een domeincontroller. Zie DNS-bronrecords beveiligen voor meer informatie.

DNS-clients

Beperk het aantal IP-adressen voor DNS-servers dat door DNS-clients wordt gebruikt. Zie DNS-clients beveiligen voor meer informatie.

Drie niveaus van DNS-beveiliging

In de volgende gedeelten worden de drie niveaus van DNS-beveiliging beschreven.

Beveiliging van laag niveau

Beveiliging van laag niveau bestaat uit een standaard-DNS-implementatie waarvoor geen beveiligingsmaatregelen zijn geconfigureerd. Implementeer dit niveau van DNS-beveiliging alleen in netwerkomgevingen waarin de integriteit van uw DNS-gegevens geen gevaar loopt of in een particulier netwerk waarin geen externe verbindingen tot stand kunnen worden gebracht. DNS-beveiliging van laag niveau heeft de volgende kenmerken:

  • De DNS-infrastructuur van de organisatie is volledig toegankelijk via internet.

  • Alleen DNS-servers in het netwerk verzorgen standaard-DNS-omzetting.

  • Op alle DNS-servers zijn aanbevolen basisservers geconfigureerd die verwijzen naar de basisservers voor internet.

  • Op alle DNS-servers is zoneoverdracht naar een willekeurige server toegestaan.

  • Alle DNS-servers zijn zo geconfigureerd dat wordt geluisterd op alle bijbehorende IP-adressen.

  • Beveiliging tegen cachevervuiling is uitgeschakeld op alle DNS-servers.

  • Dynamische updates zijn toegestaan voor alle DNS-zones.

  • Poort 53 voor UDP (User Datagram Protocol) en TCP/IP is geopend in de firewall van het netwerk voor zowel bron- als doeladressen.

Beveiliging van normaal niveau

Bij beveiliging van normaal niveau worden de functies voor DNS-beveiliging gebruikt die beschikbaar zijn zonder dat er DNS-servers worden uitgevoerd op domeincontrollers en zonder dat DNS-zones worden opgeslagen in AD DS (Active Directory Domain Services). DNS-beveiliging van normaal niveau heeft de volgende kenmerken:

  • De DNS-infrastructuur van de organisatie is beperkt toegankelijk via internet.

  • Alle DNS-servers zijn zo geconfigureerd dat doorstuurservers worden gebruikt om te verwijzen naar een specifieke lijst van interne DNS-servers wanneer namen niet lokaal kunnen worden omgezet.

  • Op alle DNS-servers zijn zoneoverdrachten toegestaan naar servers die voorkomen in de NS-bronrecords (naamserver) voor hun zones.

  • De DNS-servers zijn zo geconfigureerd dat wordt geluisterd op de opgegeven IP-adressen.

  • Beveiliging tegen cachevervuiling is ingeschakeld op alle DNS-servers.

  • Niet-beveiligde dynamische updates zijn voor geen enkele DNS-zone toegestaan.

  • Interne DNS-servers communiceren met externe DNS-servers via de firewall aan de hand van een beperkte lijst van toegestane bron- en doeladressen.

  • Op externe DNS-servers vóór de firewall zijn aanbevolen basisservers geconfigureerd die verwijzen naar de basisservers voor internet.

  • De omzetting van alle internetnamen worden verzorgd door proxyservers en gateways.

Beveiliging van hoog niveau

Bij beveiliging van hoog niveau wordt dezelfde configuratie gebruikt als bij beveiliging van normaal niveau. Daarnaast worden de beveiligingsfuncties gebruikt die beschikbaar zijn wanneer de DNS Server-service wordt uitgevoerd op een domeincontroller en DNS-zones zijn opgeslagen in AD DS. Bovendien vindt bij beveiliging van hoog niveau geen DNS-communicatie met internet plaats. Deze configuratie is weliswaar niet gangbaar, maar wordt aanbevolen wanneer een internetverbinding niet vereist is. DNS-beveiliging van hoog niveau heeft de volgende kenmerken:

  • De interne DNS-servers in de DNS-infrastructuur van de organisatie communiceren niet met internet.

  • Het netwerk maakt gebruik van een interne DNS-hoofdzone en -naamruimte, die bindend zijn voor alle interne DNS-zones.

  • DNS-servers waarvoor doorstuurservers zijn geconfigureerd maken alleen gebruik van IP-adressen van interne DNS-servers.

  • Op alle DNS-servers zijn alleen zoneoverdrachten naar de opgegeven IP-adressen toegestaan.

  • De DNS-servers zijn zo geconfigureerd dat wordt geluisterd op de opgegeven IP-adressen.

  • Beveiliging tegen cachevervuiling is ingeschakeld op alle DNS-servers.

  • Op interne DNS-servers zijn aanbevolen basisservers geconfigureerd die verwijzen naar de interne DNS-servers die als host fungeren voor de hoofdzone voor de interne naamruimte.

  • Alle DNS-servers worden op domeincontrollers uitgevoerd. Er is een DACL (Discretionary Access Control List) geconfigureerd voor de DNS Server-service op grond waarvan alleen bepaalde gebruikers beheertaken op de DNS-server mogen uitvoeren.

  • Alle DNS-zones worden opgeslagen in AD DS. Er is een DACL geconfigureerd op grond waarvan alleen bepaalde gebruikers DNS-zones mogen maken, verwijderen of wijzigen.

  • Er zijn DACL's geconfigureerd voor DNS-bronrecords op grond waarvan alleen bepaalde gebruikers DNS-gegevens mogen maken, verwijderen of wijzigen.

  • Beveiligde dynamische updates mogen worden uitgevoerd voor DNS-zones, met uitzondering van toplevelzones en hoofdzones, waarvoor dynamische updates niet zijn toegestaan.

Inhoudsopgave