Özellikle Internet'e bakan Etki Alanı Adı Sistemi (DNS) sunucularında, DNS altyapınızın kuruluşunuzun dışından, hatta bazen de içinden gelen saldırılara karşı korunduğundan emin olmanız önemlidir. DNS sunucunuzu, Active Directory Etki Alanı Adı Hizmetleri (AD DS) ile tümleştirildiğinde DNS verilerinde yetkisiz değişiklikleri engellemek için güvenli dinamik güncelleştirme kullanmak üzere yapılandırabilirsiniz. Bir saldırganın DNS altyapınızın bütünlüğüne zarar verme olasılığını azaltmak için bazı ek adımlar atabilirsiniz.

Görev Başvuru

Hangi DNS güvenlik tehditlerinin ortamınız için en önemlileri olduğunu belirleyin ve gereken güvenlik düzeyini belirleyin.

DNS Güvenlik Bilgileri

Şirketinizin dışından birilerinin iç ağ bilgilerini elde etmesini engellemek için, iç ad çözümlemesi ve Internet adı çözümlemesi için farklı DNS sunucuları kullanın. İç DNS ad alanınız, ağınızın güvenlik duvarı ardındaki DNS sunucularında barındırılmalıdır. Dış ortamdaki Internet DNS durumunuz bir çevre ağındaki DNS sunucusu tarafından yönetilmelidir. İç DNS sunucularınızın, iç ana bilgisayarlar için Internet adı çözümlemesi sağlamak üzere dış sorguları dış DNS sunucunuza gönderen bir iletici olarak kullanılmasını sağlayabilirsiniz. Dış yönlendiricinizi ve güvenlik duvarınızı yalnızca iç ve dış DNS sunucuları arasında DNS trafiğine izin vermek üzere yapılandırın.

İleticileri Anlama;

İleticiler Kullanma

Ağınızda bulunan ve Internet'e açık olan DNS sunucuları için bölge aktarımının etkinleştirilmesi gerekiyorsa, DNS bölge aktarımlarını, bölgede ad sunucusu (NS) kaynak kayıtları ile belirlenen DNS sunucularıyla veya ağınızdaki belirli DNS sunucularıyla kısıtlayın.

Bölge Aktarma Ayarlarını Değiştirme

DNS Sunucusu hizmetini çalıştıran sunucu birden çok ağa bağlı bir bilgisayarsa, DNS Sunucusu hizmetini yalnızca DNS istemcileri ve iç sunucular tarafından kullanılan arabirim IP adresini dinleyecek şekilde kısıtlayın. Örneğin, proxy sunucu olarak davranan sunucunun biri intranet diğeri de Internet için iki ağ bağdaştırıcısı olabilir. Bu sunucu ayrıca DNS Sunucusu hizmetini de çalıştırıyorsa, hizmeti yalnızca intranet ağ bağdaştırıcısı tarafından kullanılan IP adresindeki trafiği dinleyecek şekilde yapılandırabilirsiniz.

Birden Çok Ana Bilgisayara Bağlı Sunucular Yapılandırma;

DNS sunucusunu yalnızca seçilen adresleri dinlemeyle sınırlama

Tüm DNS sunucularının önbelleklerinin ad kirliliğinden korunmasını sağlayan varsayılan sunucu seçeneklerinin değiştirilmediğinden emin olun. Ad kirliliği, DNS sorgu yanıtlarında yetkisiz veya zararlı veriler bulunduğunda meydana gelir.

Sunucu Önbelleğini Ad Kirliliğine Karşı Koruma

Tüm DNS bölgeleri için yalnızca güvenli dinamik güncelleştirmelere izin verin. Bu, sadece kimliği doğrulanmış kullanıcıların güvenli bir yöntem kullanarak DNS güncelleştirmeleri gönderebilmesini sağlayarak güvenilen ana bilgisayarların IP adreslerinin bir saldırgan tarafından ele geçirilmesini engellemeye yardımcı olur.

Dinamik Güncelleştirmeyi Anlama;

Yalnızca Güvenli Olan Dinamik Güncelleştirmelere İzin Verme

DNs istemcilerine doğrudan yanıt vermeyen ve ileticilerle yapılandırılmış olmayan DNS sunucularında özyinelemeyi devre dışı bırakın. Bir DNS sunucusu yalnızca DNS istemcilerinden gelen özyinelemeli sorgulara yanıt verirken veya bir iletici ile yapılandırıldığında özyineleme gerektirir. DNS sunucuları birbiriyle iletişim kurmak için yinelemeli sorgular kullanır.

DNS Sunucusunda Özyinelemeyi Devre Dışı Bırakma

Özel bir iç DNS ad alanınız varsa, iç DNS sunucularınızın kök ipuçlarını Internet kök etki alanını barındıran DNS sunucularını değil, yalnızca iç kök etki alanınızı barındıran DNS sunucularını işaret edecek şekilde yapılandırın.

Kök İpuçlarını Güncelleştirme;

DNS Sunucusundaki Kök İpuçlarını Güncelleştirme

DNS Sunucusu hizmetini çalıştıran sunucu bir etki alanı denetleyicisiyse, DNS Sunucusu hizmetinin erişim denetiminin güvenliğini sağlamak için Active Directory erişim denetim listelerini (ACL) kullanın.

Etki Alanı Denetleyicisinde DNS Sunucusu Hizmetinin Güvenliğini Değiştirme

Yalnızca AD DS ile tümleşik DNS bölgelerini kullanın. AD DS'de depolanan DNS bölgeleri, güvenli dinamik güncelleştirme ve AD DS güvenlik ayarlarını DNS sunucularına, bölgelerine ve kaynak kayıtlarına uygulayabilme gibi Active Directory güvenlik özelliklerinden faydalanabilir.

Bir DNS bölgesi AD DS'de depolanmıyorsa, DNS bölge dosyasındaki veya bölge dosyalarının depolandığı klasördeki izinleri değiştirerek DNS bölge dosyasının güvenliğini sağlayın. Bölge dosyası veya klasör izinleri sadece System grubunun Tam Denetimine izin verecek şekilde yapılandırılmalıdır. Varsayılan olarak, bölge dosyaları %systemroot%\system32\Dns klasöründe depolanır.

Active Directory Etki Alanı Hizmetleri Tümleştirme'yi Anlama;

DNS Sunucusunu Active Directory Etki Alanı Hizmetleri İle Birlikte Kullanılacak Biçimde Yapılandırma


İçindekiler