O DNS (Domain Name System) foi originalmente criado como um protocolo aberto. Portanto, ele é vulnerável a ataques. O DNS do Windows Server 2008 ajuda a melhorar a capacidade de impedir ataques na infraestrutura DNS com a adição de recursos de segurança. Antes de analisar os recursos de segurança que serão usados, conheça as ameaças comuns à segurança do DNS e o nível de segurança do DNS da sua organização.
Ameaças à segurança do DNS
Veja, a seguir, como a sua infraestrutura DNS pode ser ameaçada por invasores:
-
Diagramação (footprinting): O processo pelo qual os dados da zona DNS são obtidos por um invasor, fornecendo-lhe os nomes de domínio DNS, os nomes de computadores e os endereços IP de recursos confidenciais da rede. Um invasor normalmente inicia um ataque usando esses dados DNS para criar um diagrama de uma rede. Os nomes de domínio DNS e de computadores geralmente indicam a função ou a localização de um domínio ou computador que ajudam os usuários a lembrar e a identificar os domínios e computadores com mais facilidade. Um invasor aproveita o mesmo princípio de DNS para conhecer a função ou a localização de domínios e computadores da rede.
-
Ataque de negação de serviço: Tentativa de um invasor de negar a disponibilidade de serviços de rede, saturando um ou mais servidores DNS da rede com consultas recursivas. Quando um servidor DNS é saturado com consultas, o uso da CPU chega a atingir o máximo e o serviço de Servidor DNS fica indisponível. Sem um servidor DNS totalmente operante na rede, os serviços de rede que utilizam o DNS ficam indisponíveis para os usuários da rede.
-
Modificação de dados: Tentativa de um invasor (que coletou informações da rede usando o DNS) de usar endereços IP válidos nos pacotes IP que o invasor criou, dando a impressão de que esses pacotes são fornecidos por um endereço IP válido da rede. Isso é normalmente chamado de falsificação de IP (IP spoofing). Com um endereço IP válido (que está dentro do intervalo de endereços IP de uma sub-rede), o invasor pode ter acesso à rede e destruir dados ou conduzir outros ataques.
-
Redirecionamento: Um invasor redireciona as consultas de nomes DNS para servidores que estão sob seu controle. Um método de redirecionamento envolve a tentativa de poluir o cache DNS de um servidor DNS com dados DNS errôneos que podem direcionar futuras consultas para servidores que estão sob o controle do invasor. Por exemplo, se uma consulta for feita originalmente para widgets.tailspintoys.com e uma resposta de referência fornecer um registro para um nome fora do domínio tailspintoys.com, como malicious-user.com, o servidor DNS usará os dados em cache para que malicious-user.com resolva uma consulta desse nome. Os invasores podem fazer o redirecionamento sempre que tiverem acesso de gravação aos dados DNS, por exemplo, quando as atualizações dinâmicas não forem seguras.
Mitigando as ameaças à segurança do DNS
O DNS pode ser configurado para mitigar esses problemas comuns de segurança. A tabela a seguir lista cinco áreas principais para concentrar os esforços de segurança do DNS.
Área de segurança do DNS | Descrição |
---|---|
Namespace DNS |
Incorpore a segurança do DNS ao seu projeto de namespace DNS. Para obter mais informações, consulte Protegendo a implantação do DNS. |
Serviço de Servidor DNS |
Examine as configurações de segurança do serviço de Servidor DNS padrão e aplique os recursos de segurança do Active Directory quando o serviço de Servidor DNS estiver sendo executado em um controlador de domínio. Para obter mais informações, consulte Protegendo o serviço de Servidor DNS. |
Zonas DNS |
Examine as configurações de segurança da zona DNS padrão e aplique as atualizações dinâminas seguras e os recursos de segurança do Active Directory quando a zona DNS estiver hospedada em um controlador de domínio. Para obter mais informações, consulte Protegendo zonas DNS. |
Registros de recursos DNS |
Examine as configurações de segurança do registro de recurso DNS padrão e aplique os recursos de segurança do Active Directory quando os registros de recursos DNS estiverem hospedados em um controlador de domínio. Para obter mais informações, consulte Protegendo os registros de recursos DNS. |
Clientes DNS |
Controle os endereços IP de servidor DNS usados por clientes DNS. Para obter mais informações, consulte Protegendo os clientes DNS. |
Três níveis de segurança do DNS
As seções que seguem descrevem os três níveis de segurança do DNS.
Segurança de nível inferior
A segurança de nível inferior é uma implantação de DNS padrão sem qualquer precaução de segurança configurada. Implante esse nível de segurança do DNS somente em ambientes de rede em que não há preocupação com a integridade dos dados DNS ou em uma rede privada em que não há ameaça de conectividade externa. A segurança de nível inferior do DNS tem as seguintes características:
-
A infraestrutura DNS da organização está totalmente exposta à Internet.
-
A resolução DNS padrão é executada por todos os servidores DNS da rede.
-
Todos os servidores DNS são configurados com dicas de raiz apontando para os servidores raiz da Internet.
-
Todos os servidores DNS permitem transferências de zona para qualquer servidor.
-
Todos os servidores DNS são configurados para escutar em todos os endereços IP.
-
A prevenção da poluição do cache é desabilitada em todos os servidores DNS.
-
A atualização dinâmica é permitida em todas as zonas DNS.
-
A porta 53 dos protocolos UDP (User Datagram Protocol) e TCP/IP é aberta no firewall da rede para endereços de origem e de destino.
Segurança de nível médio
A segurança de nível médio utiliza os recursos de segurança do DNS disponíveis sem executar servidores DNS em controladores de domínio e armazenando zonas DNS nos Serviços de Domínio Active Directory (AD DS). A segurança de nível médio do DNS tem as seguintes características:
-
A infraestrutura DNS da organização tem exposição limitada à Internet.
-
Todos os servidores DNS são configurados para usar encaminhadores que apontem para uma lista específica de servidores DNS internos quando não conseguem resolver nomes localmente.
-
Todos os servidores DNS limitam as transferências de zona para servidores listados nos registros de recursos de servidor de nomes (NS) das zonas.
-
Os servidores DNS são configurados para escutar nos endereços IP especificados.
-
A prevenção da poluição do cache é habilitada em todos os servidores DNS.
-
A atualização dinâmica não segura não é permitida nas zonas DNS.
-
Os servidores DNS internos se comunicam com servidores DNS externos pelo firewall com uma lista limitada de endereços de origem e de destino permitidos.
-
Os servidores DNS externos na frente do firewall são configurados com dicas de raiz que apontam para os servidores raiz da Internet.
-
Todas as resoluções de nomes da Internet são executadas usando servidores proxy e gateways.
Segurança de nível superior
A segurança de nível superior utiliza a mesma configuração da segurança de nível médio e usa também os recursos de segurança disponíveis quando o serviço de Servidor DNS está sendo executado em um controlador de domínio e as zonas DNS são armazenadas no AD DS. Além disso, a segurança de nível superior elimina totalmente a comunicação do DNS com a Internet. Essa não é uma configuração típica, mas é recomendada sempre que a conectividade Internet não é exigida. A segurança de nível superior do DNS tem as seguintes características:
-
A infraestrutura DNS da organização não tem comunicação com a Internet por servidores DNS internos.
-
A rede utiliza uma raiz e namespace DNS internos em que todas as autoridades das zonas DNS são internas.
-
Os servidores DNS configurados com encaminhadores utilizam somente endereços IP de servidores DNS internos.
-
Todos os servidores DNS limitam as transferências de zona para endereços IP especificados.
-
Os servidores DNS são configurados para escutar nos endereços IP especificados.
-
A prevenção da poluição do cache é habilitada em todos os servidores DNS.
-
Todos os servidores DNS são configurados com dicas de raiz apontando para os servidores DNS internos que hospedam a zona raiz do namespace interno.
-
Todos os servidores DNS são executados em controladores de domínio. Uma lista de controle de acesso discricionária (DACL) é configurada no serviço de Servidor DNS para permitir que apenas determinados indivíduos executem tarefas administrativas no servidor DNS.
-
Todas as zonas DNS são armazenadas no AD DS. É configurada uma DACL para permitir que somente determinados indivíduos criem, excluam ou modifiquem zonas DNS.
-
As DACLs são configuradas nos registros de recursos DNS para permitir que somente determinados indivíduos criem, excluam ou modifiquem dados DNS.
-
A atualização dinâmica segura é configurada para as zonas DNS, exceto para as zonas raiz e de nível superior, que não permitem atualizações dinâmicas.