域名系统 (DNS) 最初设计为一种开放协议。因此,它容易受到攻击。Windows Server 2008 DNS 可以通过增加安全功能,有助于提高对 DNS 结构所受攻击的防御能力。在考虑采用哪种安全功能之前,您应当了解 DNS 安全受到的常见威胁,以及您所在组织中的 DNS 安全级别。
DNS 安全威胁
攻击者威胁您的 DNS 结构的常见方式如下:
-
跟踪足迹: 攻击者通过该过程获取 DNS 区域数据,以向攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者开始攻击时一般会使用这些 DNS 数据来对网络进行图解或“跟踪网络的足迹”。DNS 域和计算机名通常指示某个域或计算机的功能或位置,以帮助用户更容易记住并识别域和计算机。攻击者利用同样的 DNS 原则来了解网络中域和计算机的功能或位置。
-
“拒绝服务”攻击: 攻击者用递归查询来充满网络中一个或多个 DNS 服务器,试图拒绝提供网络服务。当 DNS 服务器中充满查询时,其 CPU 使用率达到最大值,DNS 服务器服务将无法使用。如果网络上没有完全正常运行的 DNS 服务器,使用 DNS 的网络服务对网络用户而言将无法使用。
-
数据修改: 攻击者(已经使用 DNS 跟踪了网络足迹)尝试在所创建的 IP 数据包中使用有效的 IP 地址,以便使这些数据包看似来自网络中的一个有效 IP 地址。这一般称作 IP 欺骗。使用有效 IP 地址(在子网 IP 地址范围内的 IP 地址),攻击者可以获得对网络的访问权限,并破坏数据或执行其他攻击。
-
重定向: 攻击者将对 DNS 名称的查询重定向到攻击者所控制的服务器。在一种重定向方法中,会试图用错误的 DNS 数据来污染 DNS 服务器的 DNS 缓存,这些数据会将日后的查询重定向到攻击者所控制的服务器。例如,如果最初对 widgets.tailspintoys.com 发出查询,并且引用结果提供了除 tailspintoys.com 域之外的名称记录(例如 malicious-user.com),DNS 服务器将使用 malicious-user.com 的缓存数据为该名称的查询提供解析。只要拥有对 DNS 数据的可写访问权限,攻击者就可以在适当的时候(例如当动态更新不安全时)完成重定向。
减轻 DNS 安全威胁
可以将 DNS 进行配置,以缓解这些常见的 DNS 安全问题。下表列出了需要在 DNS 安全方面付出努力的五个主要领域。
DNS 安全领域 | 描述 |
---|---|
DNS 命名空间 |
将 DNS 安全融入 DNS 命名空间设计中。有关详细信息,请参阅DNS 部署的安全保护。 |
DNS 服务器服务 |
当 DNS 服务器服务在域控制器上运行时,查看默认 DNS 服务器服务安全设置,并应用 Active Directory 安全功能。有关详细信息,请参阅保护 DNS 服务器服务。 |
DNS 区域 |
当 DNS 区域位于域控制器上时,查看默认 DNS 区域安全设置,并应用安全动态更新和 Active Directory 安全功能。有关详细信息,请参阅保护 DNS 区域。 |
DNS 资源记录 |
当 DNS 资源记录位于域控制器上时,查看默认 DNS 资源记录安全设置,并应用 Active Directory 安全功能。有关详细信息,请参阅保证 DNS 资源记录的安全。 |
DNS 客户端 |
控制 DNS 客户端使用的 DNS 服务器 IP 地址。有关详细信息,请参阅保护 DNS 客户端。 |
三个 DNS 安全级别
以下部分介绍了三个 DNS 安全级别。
低安全级别
低安全级别是未配置任何安全预防措施的一种标准 DNS 部署。请仅在不考虑 DNS 数据完整性的网络环境中,或在没有外部连接威胁的专用网络中,部署该 DNS 安全级别。低 DNS 安全级别具有下列特征:
-
组织的 DNS 结构完全暴露在 Internet 中。
-
标准 DNS 解析由网络中的所有 DNS 服务器执行。
-
所有 DNS 服务器均是使用指向 Internet 的根服务器的根提示进行配置的。
-
所有 DNS 服务器都允许向任何服务器进行区域传输。
-
已将所有 DNS 服务器配置为侦听其所有 IP 地址。
-
缓存污染防止功能在所有 DNS 服务器上都禁用。
-
所有 DNS 区域上都允许进行动态更新。
-
在网络中的防火墙上,用户数据报协议 (UDP) 和 TCP/IP 端口 53 对于源地址和目标地址均是开放的。
中安全级别
中安全级别使用未在域控制器上运行 DNS 服务器并且未在 Active Directory 域服务 (AD DS) 中存储 DNS 区域的情况下可用的 DNS 安全功能。中 DNS 安全级别具有下列特征:
-
组织的 DNS 结构仅有限地暴露在 Internet 中。
-
所有 DNS 服务器都进行了配置,以便在它们无法在本地解析名称时,使用转发器指向一个特定的内部 DNS 服务器列表。
-
所有 DNS 服务器都将区域传输限定于其区域中的名称服务器 (NS) 资源记录中列出的服务器。
-
已将 DNS 服务器配置为侦听指定 IP 地址。
-
缓存污染防止功能在所有 DNS 服务器上都已启用。
-
任何 DNS 区域上都不允许进行不安全的动态更新。
-
内部 DNS 服务器通过防火墙与外部 DNS 服务器进行通信,此防火墙带有所允许的源地址和目标地址的受限列表。
-
防火墙前的外部 DNS 服务器使用指向 Internet 的根服务器的根提示进行配置。
-
所有 Internet 名称解析都使用代理服务器和网关执行。
高安全级别
高安全级别使用与中安全级别一样的配置。它还使用在 DNS 服务器服务运行于域控制器上且 DNS 区域存储在 AD DS 中时可以使用的安全功能。此外,高安全级别完全消除了与 Internet 进行的 DNS 通信。这不是一种典型配置,但是在不需要 Internet 连接时,建议采用这种配置。高 DNS 安全级别具有下列特征:
-
组织的 DNS 结构没有由内部 DNS 服务器执行的 Internet 通信。
-
网络使用内部 DNS 根目录和命名空间,其中所有 DNS 区域的颁发机构都是内部的。
-
使用转发器配置的 DNS 服务器仅使用内部 DNS 服务器 IP 地址。
-
所有 DNS 服务器都将区域传输限定于指定 IP 地址。
-
已将 DNS 服务器配置为侦听指定 IP 地址。
-
缓存污染防止功能在所有 DNS 服务器上都已启用。
-
内部 DNS 服务器使用根提示进行配置,这些根提示指向内部命名空间的根区域所在的内部 DNS 服务器。
-
所有 DNS 服务器都在域控制器上运行。在 DNS 服务器服务上配置了随机访问控制列表 (DACL),仅允许特定的个人在 DNS 服务器上执行管理任务。
-
所有 DNS 区域都存储在 AD DS 中。已将 DACL 配置为仅允许特定个人创建、删除或修改 DNS 区域。
-
已在 DNS 资源记录上将 DACL 配置为仅允许特定个人创建、删除或修改 DNS 数据。
-
为 DNS 区域配置了安全动态更新,但顶级域和根区域除外,因为它们完全不允许动态更新。