Especialmente no caso de servidores de sistema de nome de domínio (DNS) voltados para a Internet, é importante garantir que a sua infraestrutura de DNS seja protegida de ataques vindos de fora — ou até de dentro — da sua organização. Você pode configurar o seu servidor DNS, quando ele estiver integrado aos Serviços de Domínio Active Directory (AD DS), para usar atualizações dinâmicas seguras para evitar modificações não autorizadas em seus dados de DNS. É possível executar etapas adicionais para a redução das chances de um invasor ser capaz de comprometer a integridade da sua infraestrutura de DNS.

Tarefa Referência

Determine que ameaças à segurança do DNS são as mais significativas em seu ambiente e determine o nível de segurança necessário.

Informações sobre segurança do DNS

Para ajudar a impedir que qualquer um que esteja fora de sua empresa obtenha informações internas da rede, utilize servidores DNS separados para a resolução de nomes interna e externa. O seu namespace DNS interno deve ser hospedado em servidores DNS que estejam atrás do firewall da sua rede. A presença de um DNS de Internet externo deve ser gerenciada por servidor DNS que esteja em uma rede de perímetro. Para oferecer a resolução de nomes de Internet para hosts internos, você pode fazer com que os seus servidores DNS internos usem um encaminhador para enviar consultas exterrnas para o seu servidor DNS externo. Configure o seu roteador e o seu firewall externos para permitir o tráfego DNS somente entre os servidores DNS interno e externo.

Noções básicas sobre Encaminhadores;

Usando Encaminhadores

Para os servidores DNS da sua rede que estejam expostos na Internet, se a transferência de zona tiver de ser habilitada, restrinja as transferências de zona DNS aos servidores DNS identificados na zona pelos registros de recursos servidor de nomes (NS) ou aos servidores DNS específicos de sua rede.

Modificar as configurações da transferência de zona

Se o servidor que estiver executando o serviço Servidor DNS for um computador de hospedagem múltipla, restrinja o serviço Servidor DNS para que ele escute somente no endereço IP da interface usada por seus clientes DNS e servidores internos. Por exemplo, um servidor agindo como proxy pode ter dois adaptadores de rede, um para a intranet e outro para a Internet. Se esse servidor também estiver executando o serviço Servidor DNS, você poderá configurar o serviço para que ele escute o tráfego DNS somente no endereço IP usado pelo adaptador de rede da intranet.

Configurando servidores multihomed;

Restringir um servidor DNS a escutar somente em endereços selecionados

Garanta que as opções de servidor padrão que protegem os caches de todos os servidores DNS contra a poluição de nomes não mudaram. A poluição de nomes ocorre quando as respostas de consultas DNS contêm dados não autoritativos ou maliciosos.

Proteger o cache do servidor contra a poluição de nomes

Permitir somente as atualizações dinâmicas seguras para todas as zonas DNS. Isso garante que somente os usuários autenticados poderão enviar atualizações DNS usando um método seguro, ajudando a impedir que os endereços IP de hosts confiáveis sejam sequestrados por um invasor.

Noções básicas sobre a atualização dinâmica;

Permitir somente as atualizações dinâmicas seguras

Desabilita a recursão em servidores DNS que não respondem aos clientes DNS de forma direta e que não estão configurados com encaminhadores. Um servidor DNS requer recursão somente se responder a consultas recursivas de clientes DNS ou se estiver configurado com um encaminhador. Os servidores DNS usam consultas iterativas para se comunicar entre si.

Desabilitar a recursão no servidor DNS

Se você tiver um namespace DNS interno e privado, configure as dicas de raiz em seus servidores DNS internos para apontarem somente para os servidores DNS que hospedam o seu dominio raiz interno e não os servidores DNS que hospedam o dominio raiz da Internet.

Atualizando as dicas de raízes;

Atualizar dicas de raízes no Servidor DNS

Se o servidor que estiver executando o serviço Servidor DNS for um controlador de dominio, use as listas de controle de acesso (ACLs) do Active Directory para garantir o controle de acesso do serviço Servidor DNS.

Modificar a segurança do serviço de Servidor DNS em um controlador de domínio

Utilize somente as zonas DNS integradas ao AD DS. As zonas DNS armazenadas no AD DS podem aproveitar os recursos de segurança do Active Directory, como a atualização dinâmica segura e a capacidade de aplicar configurações de segurança AD DS a servidores, zonas e registros de recursos DNS.

Se uma zona DNS não estiver armazenada no AD DS, proteja o arquivo de zona DNS modificando permissões desse arquivo ou da pasta onde os arquivos de zona estão armazenados. As permissões do arquivo de zona ou da pasta devem ser configuradas para concederem Controle Total somente para o grupo Sistema. Por padrão, os arquivos de zona são armazenados na pasta %systemroot%\System32\Dns.

Noções básicas sobre integração de Serviços de Domínio Active Directory;

Configurar um servidor DNS para ser usado com Serviços de Domínio Active Directory


Sumário