Különösen az internetre is csatlakozó DNS-kiszolgálók esetén fontos a DNS-infrastruktúra védelmének biztosítása a külső, sőt a szervezeten belülről érkező támadások ellen is. Az Active Directory tartományi szolgáltatásokkal integrált DNS-kiszolgáló lehetővé teszi a biztonságos dinamikus frissítések használatát a DNS-adatok jogosulatlan módosításának megakadályozására. Emellett további lépéseket is tehet a DNS-infrastruktúra elleni sikeres támadás esélyének csökkentése érdekében.

Művelet Témakör

Állapítsa meg, hogy mely, a DNS-t érintő biztonsági kockázatok a legjelentősebbek a környezetben, és határozza meg a szükséges biztonsági szintet.

Biztonsági információk a DNS-hez

Használjon külön DNS-kiszolgálókat a belső és az internetes névfeloldáshoz, így segít megakadályozni, hogy a cégen kívüli személyek belső hálózati információkhoz jussanak. A belső DNS-névteret a hálózatot védő tűzfal mögötti DNS-kiszolgálókon érdemes kiszolgálni. A külső, internetes DNS-névfeloldást egy szegélyhálózaton lévő DNS-kiszolgáló kezelje. Belső állomások számára internetes névfeloldás biztosításához beállíthatja a belső DNS-kiszolgálókat, hogy továbbítsák a külső lekérdezéseket a külső DNS-kiszolgálóhoz. Állítsa be a külső útválasztóját és tűzfalát, hogy csak a külső és belső DNS-kiszolgálók közötti DNS-forgalmat engedélyezze.

A továbbítók ismertetése;

Továbbítók használata

Ha engedélyezni kell a zónaletöltést a hálózatban, a közvetlenül az internetre csatlakozó DNS-kiszolgálóknál korlátozni kell a DNS-zónaletöltést vagy a névkiszolgáló erőforrásrekordok alapján azonosított, a zónához tartozó DNS-kiszolgálókra, vagy a hálózatban lévő adott DNS-kiszolgálókra.

Zónaletöltési beállítások módosítása

Ha a DNS-kiszolgáló szolgáltatást futtató kiszolgáló egy többcímes számítógép, korlátozza le a DNS-kiszolgáló szolgáltatást, hogy csak azon kapcsolathoz tartozó IP-címen figyeljen, amelyeket a DNS-ügyfelek és belső kiszolgálók használnak. Meglehet például, hogy egy proxykiszolgálóként működő kiszolgálóban két hálózati adapter van, az egyik az intranet, a másik az internet irányában. Ha ez a kiszolgáló még egy DNS-kiszolgáló szolgáltatást is futtat, beállíthatja a szolgáltatást, hogy a DNS-forgalmat csak azon az IP-címen figyelje, amelyiket az intranetes hálózati adapter használja.

Többcímes kiszolgálók konfigurálása;

DNS-kiszolgáló korlátozása csak a megadott címeken történő figyelésre

Bizonyosodjon meg arról, hogy az alapértelmezett kiszolgálóbeállítások, amelyek biztosítják a kiszolgáló gyorsítótárának védelmét a névszennyezéstől, nem változtak meg. Névszennyezés akkor történik, ha a DNS-lekérdezésre érkező válasz nem mérvadó vagy rosszindulatú adatokat tartalmaz.

A kiszolgáló gyorsítótárának védelme a névszennyezéstől

Csak biztonságos dinamikus frissítéseket engedélyezzen az összes DNS-zónában. Ez biztosítja, hogy csak hitelesített felhasználók küldhetnek DNS-frissítéseket a biztonságos módszerrel, ami segít megakadályozni a megbízható állomások IP-címeinek eltérítését.

A dinamikus frissítés ismertetése;

Csak biztonságos dinamikus frissítések engedélyezése

Tiltsa le a rekurziót azokon a DNS-kiszolgálókon, amelyek nem válaszolnak közvetlenül az ügyfeleknek, és amelyek nincsenek beállítva továbbítókkal végzett működéshez. Egy DNS-kiszolgálónak csak akkor van szüksége rekurzióra, ha egy rekurzív lekérdezésre válaszol a DNS-ügyfeleknek, vagy akkor, ha az egy továbbító használatára konfigurált. A DNS-kiszolgálók iteratív lekérdezésekkel kommunikálnak egymással.

Rekurzió letiltása a DNS-kiszolgálón

Ha rendelkezik egy saját, belső névtérrel, állítsa be a belső DNS-kiszolgálók gyökérmutatóit, hogy csak a belső gyökértartományt tartalmazó DNS-kiszolgálókra, és ne az internetes gyökértartományt kezelő DNS-kiszolgálókra mutassanak.

Gyökérmutatók frissítése;

Gyökérmutatók frissítése a DNS-kiszolgálón

Ha a DNS-kiszolgáló szolgáltatást futtató számítógép egy tartományvezérlő, az Active Directory hozzáférés-vezérlési listával (ACL) biztosíthatja a DNS-kiszolgáló szolgáltatás hozzáférésének szabályozását.

A DNS-kiszolgáló szolgáltatás biztonságának módosítása tartományvezérlőn

Csak Active Directory tartományi szolgáltatásokba integrált DNS-zónákat használjon. Az Active Directory tartományi szolgáltatásokban tárolt DNS-zónák kihasználhatják az Active Directory biztonsági szolgáltatásait, például a biztonságos dinamikus frissítést, és az Active Directory tartományi szolgáltatások biztonsági beállításai alkalmazásának lehetőségét a DNS-kiszolgálókra, -zónákra és erőforrásrekordokra.

Ha egy DNS-zóna nem az Active Directory tartományi szolgáltatásokban van tárolva, biztosítsa a DNS-zóna fájlt a fájlhoz tartozó engedélyek vagy a fájlt tartalmazó mappa engedélyeinek módosításával. A zónafájl vagy -mappa engedélyei kizárólag a Rendszer csoportnak biztosíthatnak Teljes hozzáférés jogosultságot. Alapértelmezés szerint a rendszer a zónafájlokat a %systemroot%\System32\Dns mappában tárolja.

Az Active Directory tartományi szolgáltatások integrációjának ismertetése;

DNS-kiszolgáló konfigurálása az Active Directory tartományi szolgáltatásokkal való használatra


Tartalom