網域名稱系統 (DNS) 原本是設計成開放的通訊協定。因此,它很容易遭受到攻擊者的破壞。Windows Server 2008 DNS 透過加入各種安全性功能,來協助您提高因應 DNS 基礎結構受攻擊的能力。在考慮要使用哪些安全性功能之前,您應該注意對於 DNS 安全性的一般威脅以及在組織中的 DNS 安全性等級。
DNS 安全性威脅
下列是攻擊者可能威脅 DNS 基礎結構的典型方式:
-
支配: 這是攻擊者取得 DNS 區域資料的過程,會提供 DNS 網域名稱、電腦名稱以及敏感性網路資源的 IP 位址給攻擊者。攻擊者通常使用這個 DNS 資料來描繪或支配 (Footprint) 網路以開始進行攻擊。DNS 網域和電腦名稱通常會表示網域或電腦的功能或位置,以協助使用者更輕鬆地記住和識別網域和電腦。攻擊者利用相同的 DNS 原則以了解網路中網域和電腦的功能或位置。
-
阻絕服務攻擊: 攻擊者嘗試讓遞迴查詢大量湧入網路中的一或多個 DNS 伺服器,以癱瘓網路服務的可用性。當 DNS 伺服器大量湧入查詢時,其 CPU 使用率最後會達到其最大值,而 DNS 伺服器服務會變成無法使用。如果網路上沒有功能正常運作的 DNS 伺服器,則使用 DNS 的網路服務將無法提供給網路使用者使用。
-
資料修改: 攻擊者 (已經使用 DNS 來支配網路) 嘗試在他已建立的 IP 封包中使用有效的 IP 位址,這使得這些封包看起來是來自網路中有效的 IP 位址。這通常稱為 IP 詐騙。透過有效的 IP 位址 (在子網路的 IP 位址範圍中的 IP 位址),攻擊者可以存取網路,然後破壞資料或進行其他攻擊。
-
重新導向: 攻擊者將 DNS 名稱的查詢重新導向至攻擊者控制下的伺服器。重新導向的其中一個方法包含嘗試以錯誤的 DNS 資料來侵害 DNS 伺服器的 DNS 快取,而這些資料在攻擊者的控制之下可將後續的查詢導向伺服器。例如,如果原來是針對 widgets.tailspintoys.com 執行的查詢,但參照回應提供來自 tailspintoys.com 網域之外的名稱記錄,例如 malicious-user.com,接著 DNS 伺服器會為 malicious-user.com 使用快取的資料來解析該名稱的查詢。只要攻擊者有 DNS 資料的寫入權限,就可以完成重新導向,例如,當動態更新不安全時。
減輕 DNS 安全性威脅
您可以設定 DNS 以減輕這些一般的 DNS 安全性問題。下表列出 DNS 安全性努力所著重的五個主要區域。
DNS 安全性區域 | 描述 |
---|---|
DNS 命名空間 |
將 DNS 安全性結合到 DNS 命名空間設計。如需相關資訊,請參閱保護 DNS 部署的安全。 |
DNS 伺服器服務 |
檢視預設的 DNS 伺服器服務安全性設定,並在 DNS 伺服器服務在網域控制站上執行時套用 Active Directory 安全性功能。如需相關資訊,請參閱設定 DNS 伺服器服務安全性。 |
DNS 區域 |
檢視預設的 DNS 區域安全性設定,並在網域控制站上裝載 DNS 區域時套用安全的動態更新與 Active Directory 安全性功能。如需相關資訊,請參閱設定 DNS 區域的安全性。 |
DNS 資源記錄 |
檢視預設的 DNS 資源記錄安全性設定,並在網域控制站上裝載 DNS 資源記錄時套用 Active Directory 安全性功能。如需相關資訊,請參閱設定 DNS 資源記錄安全性。 |
DNS 用戶端 |
控制 DNS 用戶端使用的 DNS 伺服器 IP 位址。如需相關資訊,請參閱設定 DNS 用戶端的安全性。 |
DNS 安全性的三個等級
以下幾節說明 DNS 安全性的三個等級。
低安全性等級
低安全性等級是標準的 DNS 部署,並沒有設定任何安全性預防措施。請只在不須擔心 DNS 資料完整性問題的網路環境或是沒有外部連線威脅的私人網路中,部署這個等級的 DNS 安全性。低 DNS 安全性等級具有下列特性:
-
組識的 DNS 基礎結構完全暴露在網際網路中。
-
標準的 DNS 解析是由網路中的所有 DNS 伺服器來執行。
-
會以指向網際網路的根伺服器之根目錄提示來設定所有 DNS 伺服器。
-
所有的 DNS 伺服器都允許到任何伺服器的區域轉送。
-
所有的 DNS 伺服器都設定成在它們的所有 IP 位址上接聽。
-
會在所有 DNS 伺服器上停用快取侵害防止。
-
所有的 DNS 區域都允許動態更新。
-
使用者資料包通訊協定 (UDP) 與 TCP/IP 連接埠 53 在網路中的防火牆上同時為來源和目的地位址而開放。
中安全性等級
中安全性等級使用的 DNS 安全性功能,不必在網域控制站上執行 DNS 伺服器以及在 Active Directory 網域服務 (AD DS) 中儲存 DNS 區域即可提供。中 DNS 安全性等級具有下列特性:
-
組識的 DNS 基礎結構有限地暴露在網際網路中。
-
所有的 DNS 伺服器都設定為使用轉寄站,以便在它們無法於本機解析名稱時,指向到內部 DNS 伺服器的特定清單。
-
所有 DNS 伺服器都會限制區域轉送,只能轉送到列在其區域的名稱伺服器 (NS) 資源記錄中的伺服器。
-
DNS 伺服器是設定成在指定的 IP 位址上接聽。
-
會在所有的 DNS 伺服器上啟用快取侵害防止。
-
任何 DNS 區域均不允許不安全的動態更新。
-
內部 DNS 伺服器會透過防火牆與外部 DNS 伺服器通訊,而防火牆中有允許的來源與目的地位址清單。
-
會以指向用於網際網路的根伺服器之根目錄提示來設定在防火牆前面的外部 DNS 伺服器。
-
所有的網際網路名稱解析都會使用 Proxy 伺服器和閘道來執行。
高安全性等級
高安全性等級使用與中安全性等級相同的設定。它也使用當 DNS 伺服器服務在網域控制站上執行以及 DNS 區域儲存在 AD DS 時所提供的安全性功能。除此之外,高安全性等級可完全消除與網際網路的 DNS 通訊。這並不是一般的設定,但在不需要網際網路連線時,建議使用這個設定。高 DNS 安全性等級具有下列特性:
-
組織的 DNS 基礎結構沒有內部 DNS 伺服器所進行的網際網路通訊。
-
網路使用內部 DNS 根目錄與命名空間,而在此 DNS 區域的所有授權單位都是內部的。
-
以轉寄站設定的 DNS 伺服器只會使用內部的 DNS 伺服器 IP 位址。
-
所有 DNS 伺服器都會限制只能區域轉送到指定 IP 位址。
-
DNS 伺服器是設定成在指定的 IP 位址上接聽。
-
會在所有的 DNS 伺服器上啟用快取侵害防止。
-
會以指向裝載內部命名空間的根區域之內部 DNS 伺服器的根目錄提示來設定內部 DNS 伺服器。
-
所有 DNS 伺服器都會在網域控制站上執行。判別存取控制清單 (DACL) 是設定在 DNS 伺服器服務,只允許特定人員在 DNS 伺服器上執行系統管理工作。
-
所有 DNS 區域都儲存在 AD DS 中。DACL 是設定成只允許特定人員建立、刪除或修改 DNS 區域。
-
DACL 是在 DNS 資源記錄上設定成只允許特定人員人建立、刪除或修改 DNS 資料。
-
除了完全不允許動態更新的頂層和根區域之外,會為 DNS 區域設定保護動態更新的安全。