W przypadku serwerów DNS (Domain Name System) połączonych z Internetem szczególnie ważne jest zapewnienie ochrony infrastruktury DNS przed atakami zewnętrznymi, a nawet przed atakami wewnątrz organizacji. Jeśli serwer DNS jest zintegrowany z Usługami domenowymi w usłudze Active Directory, można na nim skonfigurować używanie bezpiecznych aktualizacji dynamicznych w celu ochrony przed nieautoryzowanymi modyfikacjami danych DNS. Można także wykonać dalsze czynności, aby zmniejszyć szanse osoby atakującej na naruszenie integralności infrastruktury DNS.

Zadanie Informacje

Określenie, które zagrożenia dla bezpieczeństwa systemu DNS są najważniejsze w danym środowisku, i wyznaczenie wymaganego poziomu zabezpieczeń.

Informacje o zabezpieczeniach systemu DNS

Aby zapobiec uzyskiwaniu wewnętrznych informacji o sieci przez osoby spoza firmy, należy używać oddzielnych serwerów DNS do rozpoznawania nazw wewnątrz firmy i w Internecie. Wewnętrzna przestrzeń nazw DNS powinna być obsługiwana przez serwery DNS umieszczone za zaporą sieci. Usługi DNS udostępniane na zewnątrz w Internecie powinny być zarządzane przy użyciu serwera DNS umieszczonego w sieci obwodowej. Aby umożliwić rozpoznawanie nazw internetowych na potrzeby hostów wewnętrznych, dla wewnętrznych serwerów DNS można skonfigurować usługę przesyłania dalej, która będzie kierowała zapytania zewnętrzne do zewnętrznego serwera DNS. Zewnętrzny router i zaporę należy skonfigurować tak, aby ruch DNS był możliwy tylko między wewnętrznymi i zewnętrznymi serwerami DNS.

Opis usług przesyłania dalej;

Korzystanie z usług przesyłania dalej

Jeśli dla serwerów DNS udostępnionych w Internecie musi być włączony transfer strefy, należy ograniczyć transfery strefy DNS do serwerów DNS identyfikowanych w strefie na podstawie rekordów zasobu serwera nazw (NS) albo do wybranych serwerów DNS działających w sieci.

Modyfikowanie ustawień transferu strefy

Jeśli serwer, na którym działa usługa Serwer DNS, jest komputerem wieloadresowym, należy zdefiniować dla tej usługi ograniczenie dotyczące nasłuchiwania wyłącznie na adresie IP interfejsu używanego przez klientów DNS i serwery wewnętrzne. Na przykład serwer działający jako serwer proxy może być wyposażony w dwie karty sieciowe - kartę obsługującą intranet i kartę obsługującą Internet. Jeśli na takim serwerze jest uruchomiona usługa Serwer DNS, można ją skonfigurować do nasłuchiwania ruchu DNS tylko na adresie IP używanym przez kartę sieciową obsługującą intranet.

Konfigurowanie serwerów wieloadresowych;

Ograniczanie listy adresów, na których serwer DNS prowadzi nasłuch

Należy się upewnić, że nie zmieniono domyślnych opcji serwera, które zabezpieczają pamięci podręczne wszystkich serwerów DNS przed zanieczyszczeniami nazw. Zanieczyszczanie nazw występuje wtedy, gdy odpowiedzi na zapytanie DNS zawierają nieautorytatywne lub złośliwe dane.

Zabezpieczanie pamięci podręcznej serwera przed zanieczyszczaniem nazw

Należy zezwalać tylko na bezpieczne aktualizacje dynamiczne we wszystkich strefach DNS. Dzięki temu tylko uwierzytelnieni użytkownicy będą mogli przesyłać aktualizacje DNS za pomocą bezpiecznej metody. Pozwala to zapobiec przechwytywaniu adresów IP zaufanych hostów przez intruza.

Opis aktualizacji dynamicznej;

Zezwalanie tylko na zabezpieczone aktualizacje dynamiczne

Należy wyłączyć rekursję na serwerach DNS, które nie odpowiadają klientom DNS bezpośrednio i nie mają skonfigurowanej usługi przesyłania dalej. Serwer DNS musi obsługiwać rekursję tylko wówczas, gdy odpowiada na zapytania cykliczne nadchodzące od klientów DNS lub gdy została dla niego skonfigurowana usługa przesyłania dalej. Do komunikacji między serwerami DNS są używane zapytania iteracyjne.

Wyłączanie rekursji na serwerze DNS

Jeśli jest używany prywatny wewnętrzny obszar nazw DNS, należy skonfigurować wskazówki dotyczące serwerów głównych na wewnętrznych serwerach DNS w taki sposób, aby wskazywały tylko serwery DNS obsługujące wewnętrzną domenę główną, a nie serwery DNS obsługujące internetową domenę główną.

Aktualizowanie wskazówek dotyczących serwerów głównych;

Aktualizowanie wskazówek dotyczących serwerów głównych na serwerze DNS

Jeśli serwer z uruchomioną usługą Serwer DNS jest kontrolerem domeny, do zabezpieczenia kontroli dostępu do usługi Serwer DNS należy użyć list kontroli dostępu (ACL) usługi Active Directory.

Modyfikowanie zabezpieczeń usługi serwera DNS na kontrolerze domeny

Należy używać tylko stref DNS zintegrowanych z Usługami domenowymi w usłudze Active Directory. Strefy DNS przechowywane w Usługach domenowych w usłudze Active Directory mogą korzystać z funkcji zabezpieczeń usługi Active Directory, takich jak bezpieczne aktualizacje dynamiczne oraz możliwość stosowania ustawień zabezpieczeń tych usług do serwerów DNS, stref i rekordów zasobów.

Jeśli strefa DNS nie jest przechowywana w Usługach domenowych w usłudze Active Directory, należy zabezpieczyć plik tej strefy przez zmodyfikowanie uprawnień do tego pliku lub do folderu zawierającego pliki stref. Plik lub folder strefy powinien mieć uprawnienia zezwalające na pełną kontrolę jedynie członkom grupy System. Domyślnie pliki stref są przechowywane w folderze %systemroot%\System32\Dns.

Opis integracji Usług domenowych w usłudze Active Directory;

Konfigurowanie serwera DNS w celu używania go z Usługami domenowymi w usłudze Active Directory


Spis treści