DNS (Domain Name System) utvecklades från början som ett öppet protokoll. Därför är det känsligt för attacker. Med Windows Server 2008 DNS kan du öka chanserna att förhindra en attack mot DNS-infrastrukturen tack vare säkerhetsfunktionerna. Innan du bestämmer vilka säkerhetsfunktioner du vill använda bör du tänka på vilka hot mot DNS-säkerheten som finns och vilken säkerhetsnivå som behövs i organisationen.

DNS-säkerhetshot

Nedan beskrivs några vanliga sätt som DNS-infrastrukturen kan hotas på av någon som vill attackera systemet:

  • Fotavtryck: DNS-zondata hämtas av en attackerare så att attackeraren får tillgång till DNS-domännamnen, datornamnen och IP-adresserna till känsliga nätverksresurser. En attackerare inleder oftast attacken genom att använda DNS-data för att skissera, eller göra ett "fotavtryck", av ett nätverk. DNS-domännamn och datornamn visar ofta vilken funktion en domän eller dator har och var den finns, vilket hjälper användare att komma ihåg och hitta domäner och datorer lättare. En attackerare drar nytta av samma DNS-principer för att ta reda på vilken funktion domänerna och datorerna har och var de finns i nätverket.

  • DOS-attack (Denial-of-Service): En attackerare försöker att göra nätverkstjänster otillgängliga genom att skicka mängder av rekursiva frågor till en eller flera DNS-servrar i nätverket. När en DNS-server översvämmas med frågor blir processoranvändningen så småningom maximal och tjänsten DNS Server slutar fungera. Utan en fullt fungerande DNS-server i nätverket kan nätverksanvändare inte använda nätverkstjänster som baseras på DNS.

  • Dataändringar: En attackerare (som har gjort ett fotavtryck av ett nätverk med DNS) försöker att använda giltiga IP-adresser i IP-paket som attackeraren har skapat, vilket gör att de här paketen verkar komma från en giltig IP-adress i nätverket. Detta kallas vanligtvis för IP-förfalskning. Med en giltig IP-adress (en IP-adress inom IP-adressintervallet för ett undernät) kan attackeraren få åtkomst till nätverket och förstöra data eller utföra andra attacker.

  • Omdirigering En attackerare omdirigerar frågor om DNS-namn till servrar som attackeraren har kontroll över. En omdirigeringsmetod är när attackeraren försöker smutsa ned DNS-cacheminnet på en DNS-server med felaktiga DNS-data som kan skicka senare frågor till servrar som attackeraren har kontroll över. Om en fråga till exempel skickas för widgets.tailspintoys.com och ett hänvisningssvar innehåller en post för ett namn utanför domänen tailspintoys.com, t.ex. attackerare.com, använder DNS-servern cachelagrade data för attackerare.com för att matcha en fråga om det namnet. Attackerare kan lyckas med omdirigeringen om de har skrivrättigheter för DNS-data, till exempel när dynamiska uppdateringar inte är säkra.

Minska DNS-säkerhetshoten

DNS kan konfigureras så att de här vanliga DNS-säkerhetsproblemen inte blir så stora. I tabellen nedan listas fem huvudområden som du ska satsa på när det gäller DNS-säkerhet.

DNS-säkerhetsområde Beskrivning

DNS-namnområde

Tänk igenom DNS-säkerheten när du tar fram strukturen för DNS-namnområdet. Mer information finns i Säkra DNS-distributionen.

DNS-servertjänst

Se över standardsäkerhetsinställningarna för tjänsten DNS Server och använd Active Directory-säkerhetsfunktioner när tjänsten DNS Server körs på en domänkontrollant. Mer information finns i Säkra tjänsten DNS Server.

DNS-zoner

Se över standardsäkerhetsinställningarna för DNS-zoner och använd säker dynamisk uppdatering och Active Directory-säkerhetsfunktioner när DNS-zonen finns på en domänkontrollant. Mer information finns i Säkra DNS-zoner.

DNS-resursposter

Se över standardsäkerhetsinställningarna för DNS-resursposter och använd Active Directory-säkerhetsfunktioner när DNS-resursposterna finns på en domänkontrollant. Mer information finns i Säkra DNS-resursposter.

DNS-klienter

Ha kontroll över vilka IP-adresser på DNS-servern som används av DNS-klienter. Mer information finns i Säkra DNS-klienter.

Tre nivåer av DNS-säkerhet

I avsnitten nedan beskrivs de tre nivåerna av DNS-säkerhet.

Säkerhet på låg nivå

Säkerhet på låg nivå är en standardmässig DNS-distribution utan några konfigurerade säkerhetsinställningar. Använd endast den här nivån för DNS-säkerhet i nätverksmiljöer där du inte behöver oroa dig för att integriteten för DNS-data skadas eller i ett privat nätverk som inte kan hotas genom anslutningar utifrån. DNS-säkerhet på låg nivå har följande kännetecken:

  • Organisationens DNS-infrastruktur är helt exponerad för Internet.

  • Standard-DNS-matchning utförs av alla DNS-servrar i nätverket.

  • Alla DNS-servrar är konfigurerade med rottips som pekar till rotservrarna för Internet.

  • Zonöverföringar till alla servrar är tillåtet på alla DNS-servrar.

  • Alla DNS-servrar är konfigurerade så att de lyssnar på alla IP-adresser.

  • Skydd mot nedsmutsning av cacheminnet är inaktiverat på alla DNS-servrar.

  • Dynamisk uppdatering tillåts för alla DNS-zoner.

  • UDP-port (User Datagram Protocol) och TCP/IP-port 53 är öppen i brandväggen i nätverket för både käll- och måladresser.

Säkerhet på medelnivå

Vid säkerhet på medelnivå används de DNS-säkerhetsfunktioner som är tillgängliga utan att DNS-servrar körs på domänkontrollanter och DNS-zoner lagras i Active Directory Domain Services (AD DS). DNS-säkerhet på medelnivå har följande kännetecken:

  • Organisationens DNS-infrastruktur är inte helt exponerad för Internet.

  • Alla DNS-servrar är konfigurerade så att vidarebefordrare används för att peka till en särskild lista över interna DNS-servrar när de inte kan matcha namn lokalt.

  • Zonöverföring är begränsat på alla DNS-servrar till servrar som listas i namnserverresursposterna (NS) för zonerna.

  • Alla DNS-servrar är konfigurerade så att de lyssnar på angivna IP-adresser.

  • Skydd mot nedsmutsning av cacheminnet är aktiverat på alla DNS-servrar.

  • Osäker dynamisk uppdatering är inte tillåtet för några DNS-zoner.

  • Interna DNS-servrar kommunicerar med externa DNS-servrar via brandväggen med en begränsad lista över tillåtna käll- och måladresser.

  • Externa DNS-servrar utanför brandväggen är konfigurerade med rottips som pekar till rotservrarna för Internet.

  • All Internetnamnmatchning utförs med proxyservrar och gateways.

Säkerhet på hög nivå

Vid säkerhet på hög nivå används samma konfiguration som för säkerhet på medelnivå. Säkerhetsfunktionerna som är tillgängliga när tjänsten DNS Server körs på en domänkontrollant och DNS-zoner lagras i AD DS används också. Dessutom gör säkerhet på hög nivå att DNS-kommunikation med Internet elimineras totalt. Det är inte en vanlig konfiguration, men den rekommenderas när det inte behövs någon kommunikation med Internet. DNS-säkerhet på hög nivå har följande kännetecken:

  • Organisationens DNS-infrastruktur kommunicerar inte med Internet tack vare interna DNS-servrar.

  • Nätverket använder en intern DNS-rot och ett internt DNS-namnområde, där all auktoritet för DNS-zonerna är intern.

  • DNS-servrar som har konfigurerats med vidarebefordrare använder endast interna IP-adresser för DNS-servrar.

  • Zonöverföring är begränsat till specifika IP-adresser på alla DNS-servrar.

  • Alla DNS-servrar är konfigurerade så att de lyssnar på angivna IP-adresser.

  • Skydd mot nedsmutsning av cacheminnet är aktiverat på alla DNS-servrar.

  • Interna DNS-servrar är konfigurerade med rottips som pekar till de interna DNS-servrarna som rotzonen för det interna namnområdet finns på.

  • Alla DNS-servrar körs på domänkontrollanter. En DACL (åtkomstlista för godtycklig behörighet) har konfigurerats i tjänsten DNS Server så att endast vissa personer kan utföra administrativa uppgifter på DNS-servern.

  • Alla DNS-zoner lagras i AD DS. En DACL har angetts så att endast vissa personer kan skapa, ta bort eller ändra DNS-zoner.

  • DACL-listor har angetts för DNS-resursposter så att endast vissa personer kan skapa, ta bort eller ändra DNS-data.

  • Säker dynamisk uppdatering är konfigurerat för DNS-zoner, förutom för zoner för den översta nivån och rotzoner, där dynamisk uppdatering inte tillåts alls.

Innehåll