O DNS (Sistema de Nomes de Domínio) foi inicialmente concebido como um protocolo aberto. Como tal, é vulnerável a atacantes. O Windows Server 2008 DNS ajuda a melhorar a capacidade de evitar um ataque à infra-estrutura de DNS através da adição de funcionalidades de segurança. Antes de considerar qual das funcionalidades de segurança utilizar, deverá ter consciência das ameaças mais comuns à segurança do DNS e o nível de segurança de DNS da sua organização.
Ameaças à segurança do DNS
Seguem-se algumas maneiras típicas pelas quais a infra-estrutura de DNS pode ser ameaçada por atacantes:
-
Footprinting: O processo pelo qual os dados da zona DNS são obtidos por um atacante para obter os nomes do domínio de DNS, os nomes dos computadores e os endereços IP de recursos sensíveis da rede. Um atacante começa normalmente um ataque utilizando estes dados de DNS para fazer um esquema, ou uma "planta", de uma rede. Os nomes de domínio de DNS e do computador indicam normalmente a função ou a localização do computador, para ajudar os utilizadores a recordarem e identificarem os domínios e os computadores mais facilmente. Um atacante aproveita-se do mesmo princípio do DNS para aprender a função ou a localização dos domínios e dos computadores na rede.
-
Ataque do tipo denial-of-service: Uma tentativa de um atacante de negar a disponibilidade dos serviços da rede inundar um ou mais servidores DNS na rede com consultas recursivas. À medida que um servidor DNS é inundado com consultas, a utilização da CPU atinge o nível máximo e o serviço Servidor DNS fica indisponível. Sem um servidor DNS totalmente operacional na rede, os serviços da rede que utilizam DNS tornam-se indisponíveis para os utilizadores da rede.
-
Modificação de dados: Uma tentativa de um atacante (que fez uma planta de uma rede utilizando o DNS) de utilizar endereços IP válidos em pacotes IP criados por ele, o que dá aos pacotes a aparência de virem de um endereço IP válido na rede. Isto é normalmente chamado spoofing de IP. Com um endereço IP válido (um endereço IP dentro do intervalo de endereços IP de uma sub-rede), o atacante pode conseguir acesso à rede e destruir dados ou levar a cabo outros ataques.
-
Redireccionamento: Um atacante que redirecciona consultas de nomes de DNS para servidores sob o seu controlo. Um método de redireccionamento envolve a tentativa de poluir a cache de DNS de um servidor DNS com dados de DNS erróneos que podem redireccionar futuras consultas sob o controlo do atacante. Por exemplo, se for feita inicialmente uma consulta para widgets.tailspintoys.com e uma resposta de referência fornecer um registo de um nome fora do domínio tailspintoys.com, tal como utilizador-malicioso.com, o servidor DNS utiliza os dados em cache de utilizador-malicioso.com, para resolver a consulta para esse nome. Os atacantes podem conseguir o redireccionamento sempre que têm acesso de escrita a dados do DNS, por exemplo, quando as actualizações dinâmicas não são seguras.
Atenuar ameaças à segurança do DNS
O DNS pode ser configurado de forma a atenuar estas questões de segurança de DNS comuns. A tabela seguinte lista cinco áreas principais onde se devem concentrar os esforços de segurança de DNS.
Área de segurança do DNS | Descrição |
---|---|
Espaço de nomes do DNS |
Incorporar segurança de DNS no modelo de espaço de nomes do DNS. Para mais informações, consulte Proteger a Implementação de DNS. |
Serviço Servidor DNS |
Reveja as predefinições de segurança do serviço Servidor DNS e aplique funcionalidades de segurança do Active Directory quando o serviço Servidor DNS está em execução num controlador de domínio. Para mais informações, consulte Proteger o Serviço Servidor DNS. |
Zonas DNS |
Reveja as predefinições de segurança da zona DNS e aplique actualizações dinâmicas e funcionalidades de segurança do Active Directory quando a zona DNS está alojada num controlador de domínio. Para mais informações, consulte Proteger zonas DNS. |
Registos de recursos de DNS |
Reveja as predefinições de segurança do registo de recursos de DNS e aplique funcionalidades de segurança do Active Directory quando os registos de recursos de DNS estão alojados num controlador de domínio. Para mais informações, consulte Proteger Registos de Recursos DNS. |
Clientes DNS |
Controlar os endereços IP do servidor DNS que os clientes DNS utilizam. Para mais informações, consulte Proteger Clientes DNS. |
Três níveis de segurança de DNS
As secções seguintes descrevem os três níveis de segurança do DNS.
Segurança de baixo nível
Segurança de baixo nível é uma implementação de DNS padrão sem quaisquer precauções de segurança configuradas. Implemente este nível de segurança de DNS apenas em ambientes de rede, onde não exista preocupação pela integridade dos dados de DNS, ou numa rede privada, onde não existe ameaça de conectividade externa. A segurança de DNS de baixo nível tem as seguintes características:
-
A infra-estrutura de DNS da organização está totalmente exposta à Internet.
-
A resolução de DNS padrão é efectuada por todos os servidores DNS da rede.
-
Todos os servidores DNS estão configurados com sugestões para a raiz apontando para os servidores raiz da Internet.
-
Todos os servidores DNS permitem transferências de zona para qualquer servidor.
-
Todos os servidores DNS estão configurados para escutar em todos os endereços IP.
-
A prevenção de poluição da cache está desactivada em todos os servidores DNS.
-
A actualização dinâmica é permitida em todas as zonas de DNS.
-
A porta 53 de protocolo UDP (User Datagram Protocol) e de TCP/IP está aberta na firewall na rede para endereços de origem e de destino.
Segurança de nível médio
A segurança de nível médio utiliza as funcionalidades de segurança de DNS que estão disponíveis sem executar os servidores DNS nos controladores de domínio e armazenando zonas de DNS nos Serviços de Domínio do Active Directory ( AD DS). A segurança de DNS de nível médio tem as seguintes características:
-
A infra-estrutura de DNS da organização tem uma exposição limitada à Internet.
-
Todos os servidores DNS estão configurados para utilizar reencaminhadores que apontam para uma lista específica de servidores DNS internos, quando não conseguirem resolver os nomes localmente.
-
Todos os servidores DNS limitam as transferências de zona para servidores que estão listados nos registos de recursos de servidor de nomes (NS) nas respectivas zonas.
-
Os servidores DNS estão configurados para escutar nos endereços IP especificados.
-
A prevenção de poluição da cache está activada em todos os servidores DNS.
-
Não é permitida actualização dinâmica não segura para nenhuma zona de DNS.
-
Os servidores DNS internos comunicam com servidores DNS externos através da firewall com uma lista limitada de endereços de origem e de destino permitidos.
-
Os servidores DNS externos à frente da firewall estão configurados com sugestões para a raiz que apontam para os servidores raiz da Internet.
-
Toda a resolução de nomes da Internet é efectuada através de servidores proxy e gateways.
Segurança de alto nível
A segurança de alto nível utiliza a mesma configuração da segurança de nível médio. Também utiliza as funcionalidades de segurança que estão disponíveis quando o serviço Servidor DNS está em execução num controlador de domínio e as zonas de DNS estão armazenadas no AD DS. Além disso, a segurança de alto nível elimina completamente a comunicação do DNS com a Internet. Esta não é uma configuração típica, mas é recomendada sempre que a conectividade à Internet não é necessária. A segurança de DNS de alto nível tem as seguintes características:
-
A infra-estrutura de DNS da organização não tem comunicação com a Internet por servidores DNS internos.
-
A rede utiliza uma raiz e um espaço de nomes de DNS internos, onde toda a autoridade para zonas de DNS é interna.
-
Os servidores DNS que estão configurados com reencaminhadores utilizam apenas endereços IP de servidor DNS internos.
-
Todos os servidores DNS limitam transferências de zona para endereços IP especificados.
-
Os servidores DNS estão configurados para escutar nos endereços IP especificados.
-
A prevenção de poluição da cache está activada em todos os servidores DNS.
-
Os servidores DNS internos estão configurados com sugestões para a raiz que apontam para os servidores DNS internos que alojam a zona raiz do espaço de nomes interno.
-
Todos os servidores DNS estão em execução em controladores de domínio. Uma lista de controlo de acesso discricionária (DACL) está configurada no serviço Servidor DNS para permitir apenas que indivíduos específicos efectuem tarefas administrativas no servidor DNS.
-
Todas as zonas DNS estão armazenadas no AD DS. Uma DACL é configurada para permitir apenas que indivíduos específicos criem, eliminem ou modifiquem zonas de DNS.
-
As DACLs são configuradas em registos de recursos de DNS para permitir apenas que indivíduos específicos criem, eliminem ou modifiquem dados de DNS.
-
A actualização dinâmica segura está configurada para as zonas DNS, com excepção das zonas de nível superior e raiz, que não permitem actualizações dinâmicas.