Služba DNS byla původně navržena jako otevřený protokol. Proto je vystavena možným útokům neoprávněných osob. Windows Server 2008 Služba DNS pomáhá vylepšit vaši schopnost zabránit útoku v infrastruktuře DNS prostřednictvím přidaných funkcí zabezpečení. Před rozhodnutím o tom, které z funkcí zabezpečení použít, je třeba zvážit nejběžnější možná rizika pro zabezpečení služby DNS a vzít v úvahu také požadovanou úroveň zabezpečení služby DNS v organizaci.
Možná rizika zabezpečení služby DNS
Nejběžnější způsoby narušení infrastruktury služby DNS neoprávněnými uživateli mohou být následující:
-
Vysledování údajů: Proces získání údajů zóny DNS nepovolanými uživateli. Neoprávněné osoby při něm získají názvy domén DNS, názvy počítačů a adresy IP citlivých síťových prostředků. Na počátku obvykle útočník pomocí těchto dat služby DNS získá schéma či představu o struktuře dané sítě. Názvy DNS domén a počítačů obvykle ukazují na funkci nebo na umístění domény nebo počítače. Důvodem je snazší orientace uživatelů při identifikaci domén a počítačů. Je zřejmé, že neoprávněné osoby mohou tento mnemotechnický způsob označování prostředků DNS snadno zneužít ke zjištění funkce a umístění domén a počítačů v síti.
-
Útok přetížením systému:Pokus útočníka znepřístupnit síťové služby zahlcením jednoho nebo více serverů DNS v síti pomocí rekurzivních dotazů. Server DNS je zaplaven dotazy, využití jednotky CPU dosáhne maximální hodnoty a služba serveru DNS je znepřístupněna. Bez plně funkčního serveru DNS v síti přestanou být uživatelům k dispozici síťové služby závislé na službě DNS.
-
Změny dat: Pokus neoprávněných osob (které nejprve napadením služby DNS vysledovaly údaje o síti) o zneužití platných adres IP v jimi vytvořených paketech protokolu IP. Cílem je vytvořit zdání, že tyto pakety byly odeslány z platné adresy IP v síti. Zneužití sítě prostřednictvím falešných paketů IP se někdy označuje anglickým termínem spoofing. Pomocí platné adresy IP (adresy IP spadající do oboru adres IP některé podsítě) mohou neoprávněné osoby získat přístup k síti a poškodit data nebo provést další útoky.
-
Přesměrování: Neoprávněný uživatel přesměruje dotazy na názvy DNS na servery spadající pod jeho správu. Jedním způsobem přesměrování je pokus o znečištění mezipaměti služby DNS na serveru DNS chybnými daty, podle kterých budou příští dotazy směrovány na servery spadající pod správu narušitele. Pokud byl například vytvořen dotaz na název widgets.tailspintoys.com a odpověď odkazuje na záznam s názvem směřujícím mimo doménu tailspintoys.com (například neopravnena-osoba.com), server DNS použije při překladu daného názvu data uložená v mezipaměti odpovídající doméně neopravnena-osoba.com. Přesměrování hrozí ve všech případech, kdy mají neoprávněné osoby možnost zápisu dat služby DNS, například při nezabezpečených dynamických aktualizacích.
Snížení rizik zabezpečením služby DNS
Službu DNS lze konfigurovat tak, aby byly možnosti jejího ohrožení co nejvíce omezeny. V následující tabulce je uvedeno pět hlavních oblastí, na které je nutné se soustředit při zabezpečení služby DNS.
Oblast zabezpečení služby DNS | Popis |
---|---|
Obor názvů služby DNS |
Do návrhu oboru názvů DNS začleňte funkce zabezpečení služby DNS. Další informace naleznete v tématu Zabezpečení nasazení DNS. |
Služba serveru DNS |
Zkontrolujte výchozí parametry zabezpečení služby serveru DNS. Pokud je služba serveru DNS spuštěna v řadiči domény, použijte funkce zabezpečení služby Active Directory. Další informace naleznete v tématu Zabezpečení služby Server DNS. |
Zóny DNS |
Zkontrolujte výchozí parametry zabezpečení zóny DNS. Je-li hostitelem zóny DNS řadič domény, použijte zabezpečené dynamické aktualizace a funkce zabezpečení služby Active Directory. Další informace naleznete v tématu Zabezpečení zón DNS. |
Záznamy o prostředku DNS |
Zkontrolujte výchozí parametry zabezpečení záznamů o prostředku služby DNS. Pokud je hostitelem záznamů o prostředku DNS řadič domény, použijte funkce zabezpečení služby Active Directory. Další informace naleznete v tématu Zabezpečení záznamů prostředků DNS. |
Klienti služby DNS |
Zkontrolujte adresy IP serveru DNS používané klienty DNS. Další informace naleznete v tématu Zabezpečení klientů DNS. |
Tři úrovně zabezpečení služby DNS
Následující část popisuje tři úrovně zabezpečení služby DNS.
Nízká úroveň zabezpečení
Ve výchozím nastavení služby DNS je použita nízká úroveň zabezpečení. Nejsou konfigurována žádná bezpečnostní opatření. Tuto úroveň zabezpečení služby DNS používejte pouze v síťových prostředích, kde nezáleží na integritě dat služby DNS, nebo v privátních sítích, kde neexistují hrozby z připojení k externí síti. Tato úroveň má následující vlastnosti:
-
Infrastruktura služby DNS místní organizace je plně vystavena vlivům ze sítě Internet.
-
Ve výchozím nastavení je překlad adres IP službou DNS prováděn všemi servery DNS v dané síti.
-
Všechny servery DNS jsou konfigurovány tak, že odkazy na kořenové servery jsou nasměrovány na kořenové servery v síti Internet.
-
Všechny servery DNS povolují zónové přenosy na libovolné servery.
-
U všech serverů DNS je konfigurováno naslouchání na všech příslušných adresách IP.
-
U všech serverů DNS je zakázáno zajištění mezipaměti proti znečištění.
-
Dynamická aktualizace je povolena pro všechny zóny DNS.
-
U brány firewall pro danou síť je pro zdrojovou i pro cílovou adresu otevřen port 53 protokolu UDP (User Datagram Protocol) a TCP/IP.
Střední úroveň zabezpečení
V rámci střední úrovně zabezpečení jsou pro službu DNS použity funkce zabezpečení, které jsou k dispozici bez spuštění serverů DNS v řadičích domény a bez ukládání zón DNS v adresářích služby AD DS (Active Directory Domain Services). Tato úroveň má následující vlastnosti:
-
Infrastruktura služby DNS dané organizace je v omezené míře vystavena vlivům ze sítě Internet.
-
Všechny servery DNS jsou konfigurovány tak, že pokud nemohou přeložit název na adresu IP místně, použijí server předávání k odkazu na specifický seznam interních serverů DNS.
-
Všechny servery DNS mají zónový přenos omezen na servery uvedené v záznamech o prostředku názvových serverů (NS) v příslušných zónách.
-
U serverů DNS je konfigurováno naslouchání na specifických adresách IP.
-
U všech serverů DNS je povoleno zajištění mezipaměti proti znečištění.
-
Nezabezpečená dynamická aktualizace není povolena pro žádnou zónu DNS.
-
Interní servery DNS komunikují s externími servery DNS prostřednictvím brány firewall s omezeným seznamem povolených zdrojových a cílových adres.
-
Externí servery DNS před bránou firewall jsou konfigurovány tak, že odkazy na kořenové servery jsou směrovány na kořenové servery v síti Internet.
-
Veškeré překlady názvů v síti Internet jsou prováděny prostřednictvím serverů proxy a bran.
Vysoká úroveň zabezpečení
Vysoká úroveň zabezpečení používá stejnou konfiguraci jako střední. Používá také funkce zabezpečení, které jsou k dispozici při spuštění služby serveru DNS v řadiči domény a při uložení zón DNS v adresáři služby AD DS. Kromě toho je při zabezpečení vysoké úrovně zcela vyloučena komunikace DNS se sítí Internet. Nejedná se o obvyklou konfiguraci, je však doporučena ve všech případech, kdy není požadováno připojení k síti Internet. Tato úroveň má následující vlastnosti:
-
Infrastruktura služby DNS v dané organizaci neumožňuje prostřednictvím interních serverů DNS žádnou komunikaci v síti Internet.
-
V síti je používán interní kořenový server a obor názvů DNS a veškerá autorita pro zóny DNS náleží interním serverům.
-
Servery DNS konfigurované jako servery pro předávání používají pouze adresy IP interních serverů DNS.
-
Pro všechny servery DNS jsou zónové přenosy omezeny na určené adresy IP.
-
U serverů DNS je konfigurováno naslouchání na zadaných adresách IP.
-
U všech serverů DNS je povoleno zajištění mezipaměti proti znečištění.
-
Interní servery DNS jsou konfigurovány tak, že odkazy na kořenové servery poukazují na interní servery DNS, které jsou hostiteli kořenové zóny pro daný interní obor názvů.
-
Všechny servery DNS jsou spuštěny v řadičích domény. Pro službu serveru DNS je konfigurován volitelný seznam řízení přístupu (DACL), který povoluje provádění úloh správy na serveru DNS pouze určeným osobám.
-
Všechny zóny DNS jsou uloženy v rámci služby Active Directory. Konfigurace seznamu DACL povoluje vytváření, odstraňování a úpravy zón DNS pouze určeným uživatelům.
-
Konfigurace seznamů DACL pro záznamy o prostředku povoluje vytváření, odstraňování a úpravy dat služby DNS pouze určeným uživatelům.
-
Pro zóny DNS je konfigurována zabezpečená dynamická aktualizace, s výjimkou kořenových zón a zón nejvyšší úrovně, pro které nejsou vůbec povoleny dynamické aktualizace.