System DNS (Domain Name System) został oryginalnie zaprojektowany jako protokół otwarty. Dlatego jest narażony na ataki. Usługa DNS w systemie Windows Server 2008 pomaga podnosić zdolność zapobiegania atakom na infrastrukturę systemu DNS przy użyciu dodatkowych funkcji zabezpieczeń. Przed podjęciem rozważań o wyborze funkcji zabezpieczeń do użycia należy uświadomić sobie typowe zagrożenia dla bezpieczeństwa systemu DNS oraz poziom zabezpieczeń systemu DNS w swojej organizacji.

Zagrożenia dla bezpieczeństwa systemu DNS

Oto typowe sposoby ataków na infrastrukturę systemu DNS:

  • Wykonywanie odcisku sieci. Proces, dzięki któremu intruz uzyskuje dane strefy DNS w celu zdobycia nazw domen DNS, nazw komputerów i adresów IP poufnych zasobów sieciowych. Intruz zazwyczaj zaczyna atak od użycia tych danych DNS do utworzenia diagramu lub wykonania „odcisku” sieci. Nazwy komputerów i domen DNS zazwyczaj wskazują ich funkcje lub lokalizacje, aby ułatwić użytkownikom zapamiętywanie i identyfikowanie domen i komputerów. Intruz wykorzystuje tę samą zasadę w systemie DNS, aby poznać funkcje lub lokalizacje domen i komputerów w sieci.

  • Atak typu odmowa usługi. Intruz próbuje doprowadzić do odmowy świadczenia usług sieciowych przez przeciążenie jednego lub wielu serwerów DNS w sieci przy użyciu zapytań cyklicznych. Kiedy serwer DNS zostaje przeciążony zapytaniami, jego wykorzystanie procesora osiąga w końcu wartość maksymalną, a usługa serwera DNS staje się niedostępna. Bez sprawnie działającego serwera DNS w sieci usługi sieciowe, które używają systemu DNS, stają się niedostępne dla użytkowników sieci.

  • Modyfikowanie danych. Podjęta przez intruza dysponującego odciskiem sieci używającej systemu DNS próba użycia prawidłowych adresów IP w utworzonych przez intruza pakietach protokołu IP, które pozornie wyglądają na pochodzące z prawidłowego adresu IP w sieci. Proces ten jest nazywany fałszowaniem adresów IP. Przy użyciu prawidłowego adresu IP (adresu IP z zakresu adresów IP podsieci) intruz może uzyskać dostęp do sieci i zniszczyć dane lub poprowadzić dalsze ataki.

  • Przekierowywanie. Intruz przekierowuje zapytania dotyczące nazw DNS do kontrolowanych przez siebie serwerów. Jedna z metod przekierowywania obejmuje próbę zanieczyszczenia pamięci podręcznej DNS serwera DNS błędnymi danymi DNS, które mogą kierować przyszłe zapytania do serwerów kontrolowanych przez intruza. Jeśli na przykład zapytanie dotyczy nazwy widgets.tailspintoys.com, a odpowiedź odwołania dostarcza rekord nazwy spoza domeny tailspintoys.com, takiej jak malicious-user.com, serwer DNS używa buforowanych danych dotyczących nazwy malicious-user.com, aby zwrócić wyniki rozpoznawania dla zapytania dotyczącego tej nazwy. Przekierowywanie jest możliwe, kiedy intruzi mają zapisywalny dostęp do danych DNS, na przykład kiedy aktualizacje dynamiczne nie są bezpieczne.

Zmniejszanie zagrożeń dla bezpieczeństwa systemu DNS

System DNS można skonfigurować w taki sposób, aby zredukować typowe zagrożenia bezpieczeństwa systemu DNS. W poniższej tabeli przedstawiono pięć najważniejszych obszarów, na których należy się skoncentrować, zabezpieczając system DNS.

Obszar bezpieczeństwa systemu DNS Opis

Obszar nazw DNS

Zabezpieczenia systemu DNS można wbudować w projekt obszaru nazw DNS. Aby uzyskać więcej informacji, zobacz temat Zabezpieczanie wdrożenia systemu DNS

Usługa serwera DNS

Należy sprawdzić domyślne ustawienia zabezpieczeń usługi serwera DNS i zastosować funkcje zabezpieczeń usługi Active Directory, kiedy usługa serwera DNS jest uruchomiona na kontrolerze domeny. Aby uzyskać więcej informacji, zobacz temat Zabezpieczanie usługi serwera DNS

Strefy DNS

Należy sprawdzić domyślne ustawienia zabezpieczeń stref DNS i zastosować bezpieczne aktualizacje dynamiczne oraz funkcje zabezpieczeń usługi Active Directory, kiedy strefa DNS jest obsługiwana na kontrolerze domeny. Aby uzyskać więcej informacji, zobacz temat Zabezpieczanie stref DNS

Rekordy zasobów DNS

Należy sprawdzić domyślne ustawienia zabezpieczeń rekordów zasobów DNS i zastosować funkcje zabezpieczeń usługi Active Directory, kiedy rekordy zasobów DNS są obsługiwane na kontrolerze domeny. Aby uzyskać więcej informacji, zobacz temat Zabezpieczanie rekordów zasobów DNS.

Klienci DNS

Istnieje możliwość kontrolowania adresów IP serwerów DNS używanych przez klientów DNS. Aby uzyskać więcej informacji, zobacz temat Zabezpieczanie klientów DNS

Trzy poziomy zabezpieczeń systemu DNS

W poniższych sekcjach opisano trzy poziomy zabezpieczeń systemu DNS.

Zabezpieczenia na poziomie niskim

Zabezpieczenia na poziomie niskim są stosowane w standardowym wdrożeniu systemu DNS bez żadnych wstępnie skonfigurowanych środków bezpieczeństwa. Ten poziom zabezpieczeń systemu DNS należy stosować tylko w środowiskach sieciowych, w których integralność danych DNS nie odgrywa roli, oraz w sieciach prywatnych, gdzie nie istnieje ryzyko związane z połączeniami zewnętrznymi. Charakterystyka zabezpieczeń systemu DNS na poziomie niskim:

  • Infrastruktura systemu DNS organizacji jest całkowicie ujawniona w Internecie.

  • Standardowe rozpoznawanie nazw DNS jest wykonywane przez wszystkie serwery DNS w sieci.

  • Wszystkie serwery DNS są skonfigurowane przy użyciu wskazówek dotyczących serwerów głównych, które wskazują serwery główne dla Internetu.

  • Wszystkie serwery DNS zezwalają na transfery stref do dowolnego serwera.

  • Wszystkie serwery DNS są skonfigurowane do nasłuchiwania na wszystkich swoich adresach IP.

  • Zapobieganie zanieczyszczaniu pamięci podręcznej jest wyłączone na wszystkich serwerach DNS.

  • Aktualizacja dynamiczna jest dozwolona dla wszystkich stref DNS.

  • Port 53 protokołu UDP i TCP/IP jest otwarty na zaporze w sieci zarówno dla adresów źródłowych, jak i docelowych.

Zabezpieczenia na poziomie średnim

Zabezpieczenia na poziomie średnim używają funkcji zabezpieczeń systemu DNS, które są dostępne bez uruchamiania serwerów DNS na kontrolerach domeny i przechowywania stref DNS w Usługach domenowych w usłudze Active Directory. Charakterystyka zabezpieczeń systemu DNS na poziomie średnim:

  • Infrastruktura systemu DNS organizacji jest ujawniona w Internecie w ograniczonym zakresie.

  • Wszystkie serwery DNS są skonfigurowane do używania usług przesyłania dalej do wskazywania określonej listy wewnętrznych serwerów DNS, kiedy nie mogą rozpoznać nazwy lokalnie.

  • Wszystkie serwery DNS ograniczają transfery stref do serwerów wymienionych w rekordach zasobów serwerów nazw w swoich strefach.

  • Serwery DNS są skonfigurowane do nasłuchiwania na określonych adresach IP.

  • Zapobieganie zanieczyszczaniu pamięci podręcznej jest włączone na wszystkich serwerach DNS.

  • Niezabezpieczona aktualizacja dynamiczna jest zabroniona dla wszystkich stref DNS.

  • Wewnętrzne serwery DNS komunikują się z zewnętrznymi serwerami DNS przez zaporę z ograniczoną listą dozwolonych adresów źródłowych i docelowych.

  • Zewnętrzne serwery DNS przed zaporą są skonfigurowane przy użyciu wskazówek dotyczących serwerów głównych, które wskazują serwery główne dla Internetu.

  • Rozpoznawanie nazw internetowych jest wykonywane wyłącznie przy użyciu serwerów proxy i bram.

Zabezpieczenia na poziomie wysokim

Zabezpieczenia na poziomie wysokim używają tej samej konfiguracji co zabezpieczenia na poziomie średnim. Używają również funkcji zabezpieczeń, które są dostępne, kiedy usługa serwera DNS jest uruchomiona na kontrolerze domeny, a strefy DNS są przechowywane w usługach domenowych w usłudze AD. Ponadto zabezpieczenia na wysokim poziomie całkowicie eliminują komunikację systemu DNS z Internetem. Ta konfiguracja nie jest typowa, ale zaleca się ją, jeśli łączność z Internetem nie jest wymagana. Charakterystyka zabezpieczeń systemu DNS na poziomie wysokim:

  • Infrastruktura systemu DNS organizacji nie komunikuje się z Internetem przez wewnętrzne serwery DNS.

  • Sieć używa wewnętrznego serwera głównego DNS i obszaru nazw, w którym wszystkie uprawnienia autorytatywne dla stref DNS są wewnętrzne.

  • Serwery DNS skonfigurowane przy użyciu usług przesyłania dalej używają tylko adresów IP wewnętrznych serwerów DNS.

  • Wszystkie serwery DNS ograniczają transfery stref do określonych adresów IP.

  • Serwery DNS są skonfigurowane do nasłuchiwania na określonych adresach IP.

  • Zapobieganie zanieczyszczaniu pamięci podręcznej jest włączone na wszystkich serwerach DNS.

  • Wewnętrzne serwery DNS są skonfigurowane przy użyciu wskazówek dotyczących serwerów głównych, które wskazują wewnętrzne serwery DNS obsługujące strefę główną dla wewnętrznego obszaru nazw.

  • Wszystkie serwery DNS są uruchomione na kontrolerach domeny. W usłudze serwera DNS jest skonfigurowana poufna lista kontroli dostępu (DACL), która zezwala tylko określonym osobom na wykonywanie zadań administracyjnych na serwerze DNS.

  • Wszystkie strefy DNS są przechowywane w usługach domenowych w usłudze AD. Poufna lista kontroli dostępu jest skonfigurowana tak, aby zezwalać na tworzenie, usuwanie i modyfikowanie stref DNS tylko określonym osobom.

  • W rekordach zasobów DNS są skonfigurowane poufne listy kontroli dostępu, które zezwalają na tworzenie, usuwanie i modyfikowanie danych DNS tylko określonym osobom.

  • Bezpieczna aktualizacja dynamiczna jest skonfigurowana dla stref DNS z wyjątkiem stref najwyższego poziomu i stref głównych, które w ogóle nie zezwalają na aktualizację dynamiczną.

Spis treści