Especialmente no caso de servidores DNS (Sistema de Nomes de Domínio) expostos à Internet, é importante certificar-se de que a infra-estrutura de DNS está protegida contra ataques provenientes do exterior ou até mesmo do interior da organização. Pode configurar o servidor DNS, quando integrado nos Serviços de Domínio do Active Directory (AD DS), para utilizar actualizações dinâmicas seguras de forma a impedir modificações não autorizadas aos dados de DNS. Pode efectuar passos adicionais para reduzir as hipóteses de um atacante conseguir comprometer a integridade da infra-estrutura de DNS.

Tarefa Referência

Determine as ameaças de segurança de DNS mais significativas para o ambiente e determine o nível de segurança necessário.

Informações de Segurança do DNS

Para ajudar a impedir que um utilizador que não pertence à empresa obtenha informações de rede internas, utilize servidores DNS separados para a resolução de nomes internos e da Internet. O espaço de nomes DNS interno deverá ser hospedado em servidores DNS atrás da firewall da rede. O DNS da Internet, externo deverá ser gerido por um servidor DNS numa rede de perímetro. Para fornecer a resolução de nomes da Internet para anfitriões internos, pode utilizar os servidores DNS internos como um reencaminhador para enviar consultas externas para o servidor DNS externo. Configure o router e a firewall externos para permitirem tráfego de DNS apenas entre os servidores DNS internos e externos.

Noções Sobre Reencaminhadores;

Utilizar Reencaminhadores

No caso dos servidores DNS da rede que estão expostos à Internet, se tiver de activar a transferência de zona, restrinja as transferências de zona DNS a servidores DNS identificados na zona pelos registos de recursos do servidor de nomes (NS) ou a servidores DNS específicos da rede.

Modificar Definições de Transferência de Zona

Se o servidor que está a executar o serviço Servidor DNS for um computador multihomed, restrinja o serviço Servidor DNS para escutar apenas no endereço IP da interface utilizado pelos clientes DNS e servidores internos. Por exemplo, um servidor que funciona como um servidor proxy poderá ter duas placas de rede, uma para a intranet e outra para a Internet. Se esse servidor também estiver a executar o serviço Servidor DNS, poderá configurar o serviço para escutar apenas tráfego de DNS no endereço IP utilizado pela placa de rede da intranet.

Configurar Servidores Multihomed;

Restringir um servidor DNS para escutar apenas os endereços seleccionados

Certifique-se de que as opções de servidor predefinidas que protegem as caches de todos os servidores DNS contra poluição de nomes não foram alteradas. A poluição de nomes ocorre quando respostas a consultas de DNS contêm dados não autoritários ou maliciosos.

Proteger a Cache do Servidor Contra Poluição de Nomes

Permita apenas actualizações dinâmicas seguras para todas as zonas DNS. Deste modo, assegura que apenas utilizadores autenticados possam submeter actualizações de DNS utilizando um método seguro, o que ajuda a impedir a utilização de endereços IP de anfitriões fidedignos por utilizadores mal intencionados.

Noções sobre Actualização Dinâmica;

Permitir Apenas Actualizações Dinâmicas Seguras

Desactive a recursão em servidores DNS que não respondam directamente a clientes DNS e que não estejam configurados com reencaminhadores. Um servidor DNS só necessita de recursão se responder a consultas recursivas de clientes DNS ou se estiver configurado com um reencaminhador. Os servidores DNS utilizam consultas iterativas para comunicar entre si.

Desactivar Recursão no Servidor DNS

Se tiver um espaço de nomes DNS interno, privado, configure as sugestões de raiz dos servidores DNS internos para apontarem apenas para os servidores DNS que hospedam o domínio raiz interno e não para os servidores DNS que hospedam o domínio raiz da Internet.

Actualizar Sugestões de Raiz;

Actualizar Sugestões de Raiz no Servidor DNS

Se o servidor que está a executar o serviço Servidor DNS for um controlador de domínio, utilize as ACLs (listas de controlo de acesso) do Active Directory para proteger o controlo de acesso do serviço Servidor DNS.

Modificar a Segurança do Serviço Servidor DNS num Controlador de Domínio

Utilize apenas zonas DNS integradas nos AD DS. As zonas DNS armazenadas nos AD DS podem tirar partido das funcionalidades de segurança do Active Directory, como a actualização dinâmica segura e a capacidade de aplicar definições de segurança dos AD DS aos servidores, zonas e registos de recursos de DNS.

Se uma zona DNS não estiver armazenada nos AD DS, proteja os ficheiros da zona DNS modificando permissões nos ficheiros da zona DNS ou na pasta em que os ficheiros da zona são armazenados. As permissões de ficheiros ou pastas da zona deverão ser configuradas para permitir Controlo Total apenas ao grupo Sistema. Por predefinição, os ficheiros de zona são armazenados na pasta %systemroot%\System32\Dns.

Noções sobre Integração de Serviços de Domínio do Active Directory;

Configurar um Servidor DNS para Utilizar com os Serviços de Domínio do Active Directory


Sumário