Het is met name voor de met internet verbonden DNS-servers (Domain Name System) belangrijk dat de DNS-infrastructuur wordt beveiligd tegen aanvallen van buitenaf, of zelfs tegen aanvallen vanuit de organisatie. Als de DNS-server wordt geïntegreerd met AD DS (Active Directory Domain Services), kunt u het gebruik van beveiligde dynamische updates voor de DNS-server instellen om te voorkomen dat de DNS-gegevens door onbevoegde gebruikers worden gewijzigd. U kunt aanvullende stappen uitvoeren om het risico te beperken dat een indringer de integriteit van de DNS-infrastructuur aantast.
Taak | Naslaginformatie |
---|---|
Bepaal de belangrijkste DNS-beveiligingsrisico's voor de omgeving en bepaal het vereiste beveiligingsniveau. |
|
Gebruik afzonderlijke DNS-servers voor de omzetting van interne namen en internetnamen om te voorkomen dat personen buiten het bedrijf interne netwerkgegevens kunnen ophalen. De interne DNS-naamruimte moet worden gehost op DNS-servers achter de firewall voor het netwerk. De externe internet-DNS moet worden beheerd op een DNS-server in een perimeternetwerk. Als u de omzetting van internetnamen wilt instellen voor interne hosts, kunt voor de interne DNS-servers een doorstuurserver gebruiken waarmee externe query's worden verzonden naar de externe DNS-server. Configureer de externe router en firewall, zodat alleen DNS-verkeer tussen de interne en externe DNS-servers is toegestaan. |
|
Als u zoneoverdracht wilt inschakelen voor de DNS-servers op het netwerk die zijn verbonden met internet, beperkt u de DNS-zoneoverdrachten tot DNS-servers die in de zone worden aangeduid als NS-bronrecords (naamserver) of tot specifieke DNS-servers op het netwerk. |
|
Als de server waarop de DNS Server-service wordt uitgevoerd, een multihomed computer is, stelt u de DNS Server-service zo in dat alleen wordt geluisterd op het interface-IP-adres dat wordt gebruikt op de DNS-clients en interne servers. Een server die fungeert als proxyserver kan bijvoorbeeld twee netwerkadapters hebben, een voor het intranet en een voor internet. Als op deze server ook de DNS Server-service wordt uitgevoerd, kunt u de service zo instellen dat alleen wordt geluisterd op DNS-verkeer op het IP-adres dat wordt gebruikt door de intranet-netwerkadapter. |
Multihomed servers configureren; Ervoor zorgen dat een DNS-server alleen op de geselecteerde adressen luistert |
Controleer of de standaardserveropties waarmee de caches van alle DNS-servers worden beveiligd tegen naamvervuiling, niet zijn gewijzigd. Naamvervuiling treedt op als de DNS-queryreacties niet-bindende of schadelijke gegevens bevatten. |
|
Zorg ervoor dat u alleen beveiligde dynamische updates toestaat voor alle DNS-zones. Hierdoor kunnen alleen geverifieerde gebruikers DNS-updates via een veilige methode aanvragen en voorkomt u dat de IP-adressen van vertrouwde hosts kunnen worden opgehaald door een indringer. |
|
Schakel recursie uit op DNS-servers die niet rechtstreeks reageren op DNS-clients en die niet zijn geconfigureerd met doorstuurservers. Voor een DNS-server is recursie alleen vereist als deze reageert op recursieve query's van DNS-clients of als deze is geconfigureerd met een doorstuurserver. Voor de communicatie tussen DNS-servers worden herhaalde query's gebruikt. |
|
Als u een particuliere interne DNS-naamruimte hebt, stelt u de aanbevolen basisservers van interne DNS-servers zo in dat deze alleen verwijzen naar de DNS-servers die host zijn van het interne hoofddomein, en niet naar de DNS-servers die host zijn van het internethoofddomein. |
|
Als de server waarop de DNS Server-service wordt uitgevoerd, een domeincontroller is, gebruikt u ACL's (Access Control Lists) in Active Directory om het toegangsbeheer van de DNS Server-service te beveiligen. |
De beveiligingsinstellingen wijzigen voor de DNS Server-service op een domeincontroller |
Gebruik alleen AD DS geïntegreerde DNS-zones. Voor DNS-zones die zijn opgeslagen in AD DS kunt u Active Directory-beveiligingsfuncties gebruiken, zoals beveiligde dynamische updates en de toepassing van AD DS-beveiligingsinstellingen op DNS-servers, zones en bronrecords. Als een DNS-zone niet is opgeslagen in AD DS, beveiligt u het DNS-zonebestand door machtigingen te wijzigen in het DNS-zonebestand of in de map met de opgeslagen zonebestanden. De machtigingen voor het zonebestand of de map moeten zo zijn geconfigureerd dat alleen de groep System de machtiging Volledig beheer heeft. Standaard worden zonebestanden opgeslagen in de map %systemroot%\System32\Dns. |
Active Directory Domain Services-integratie; Een DNS-server configureren voor gebruik met Active Directory Domain Services |