域名系统 (DNS) 最初设计为一种开放协议。因此,它容易受到攻击。Windows Server 2008 DNS 可以通过增加安全功能,有助于提高对 DNS 结构所受攻击的防御能力。在考虑采用哪种安全功能之前,您应当了解 DNS 安全受到的常见威胁,以及您所在组织中的 DNS 安全级别。

DNS 安全威胁

攻击者威胁您的 DNS 结构的常见方式如下:

  • 跟踪足迹: 攻击者通过该过程获取 DNS 区域数据,以向攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者开始攻击时一般会使用这些 DNS 数据来对网络进行图解或“跟踪网络的足迹”。DNS 域和计算机名通常指示某个域或计算机的功能或位置,以帮助用户更容易记住并识别域和计算机。攻击者利用同样的 DNS 原则来了解网络中域和计算机的功能或位置。

  • “拒绝服务”攻击: 攻击者用递归查询来充满网络中一个或多个 DNS 服务器,试图拒绝提供网络服务。当 DNS 服务器中充满查询时,其 CPU 使用率达到最大值,DNS 服务器服务将无法使用。如果网络上没有完全正常运行的 DNS 服务器,使用 DNS 的网络服务对网络用户而言将无法使用。

  • 数据修改: 攻击者(已经使用 DNS 跟踪了网络足迹)尝试在所创建的 IP 数据包中使用有效的 IP 地址,以便使这些数据包看似来自网络中的一个有效 IP 地址。这一般称作 IP 欺骗。使用有效 IP 地址(在子网 IP 地址范围内的 IP 地址),攻击者可以获得对网络的访问权限,并破坏数据或执行其他攻击。

  • 重定向: 攻击者将对 DNS 名称的查询重定向到攻击者所控制的服务器。在一种重定向方法中,会试图用错误的 DNS 数据来污染 DNS 服务器的 DNS 缓存,这些数据会将日后的查询重定向到攻击者所控制的服务器。例如,如果最初对 widgets.tailspintoys.com 发出查询,并且引用结果提供了除 tailspintoys.com 域之外的名称记录(例如 malicious-user.com),DNS 服务器将使用 malicious-user.com 的缓存数据为该名称的查询提供解析。只要拥有对 DNS 数据的可写访问权限,攻击者就可以在适当的时候(例如当动态更新不安全时)完成重定向。

减轻 DNS 安全威胁

可以将 DNS 进行配置,以缓解这些常见的 DNS 安全问题。下表列出了需要在 DNS 安全方面付出努力的五个主要领域。

DNS 安全领域 描述

DNS 命名空间

将 DNS 安全融入 DNS 命名空间设计中。有关详细信息,请参阅DNS 部署的安全保护

DNS 服务器服务

当 DNS 服务器服务在域控制器上运行时,查看默认 DNS 服务器服务安全设置,并应用 Active Directory 安全功能。有关详细信息,请参阅保护 DNS 服务器服务

DNS 区域

当 DNS 区域位于域控制器上时,查看默认 DNS 区域安全设置,并应用安全动态更新和 Active Directory 安全功能。有关详细信息,请参阅保护 DNS 区域

DNS 资源记录

当 DNS 资源记录位于域控制器上时,查看默认 DNS 资源记录安全设置,并应用 Active Directory 安全功能。有关详细信息,请参阅保证 DNS 资源记录的安全

DNS 客户端

控制 DNS 客户端使用的 DNS 服务器 IP 地址。有关详细信息,请参阅保护 DNS 客户端

三个 DNS 安全级别

以下部分介绍了三个 DNS 安全级别。

低安全级别

低安全级别是未配置任何安全预防措施的一种标准 DNS 部署。请仅在不考虑 DNS 数据完整性的网络环境中,或在没有外部连接威胁的专用网络中,部署该 DNS 安全级别。低 DNS 安全级别具有下列特征:

  • 组织的 DNS 结构完全暴露在 Internet 中。

  • 标准 DNS 解析由网络中的所有 DNS 服务器执行。

  • 所有 DNS 服务器均是使用指向 Internet 的根服务器的根提示进行配置的。

  • 所有 DNS 服务器都允许向任何服务器进行区域传输。

  • 已将所有 DNS 服务器配置为侦听其所有 IP 地址。

  • 缓存污染防止功能在所有 DNS 服务器上都禁用。

  • 所有 DNS 区域上都允许进行动态更新。

  • 在网络中的防火墙上,用户数据报协议 (UDP) 和 TCP/IP 端口 53 对于源地址和目标地址均是开放的。

中安全级别

中安全级别使用未在域控制器上运行 DNS 服务器并且未在 Active Directory 域服务 (AD DS) 中存储 DNS 区域的情况下可用的 DNS 安全功能。中 DNS 安全级别具有下列特征:

  • 组织的 DNS 结构仅有限地暴露在 Internet 中。

  • 所有 DNS 服务器都进行了配置,以便在它们无法在本地解析名称时,使用转发器指向一个特定的内部 DNS 服务器列表。

  • 所有 DNS 服务器都将区域传输限定于其区域中的名称服务器 (NS) 资源记录中列出的服务器。

  • 已将 DNS 服务器配置为侦听指定 IP 地址。

  • 缓存污染防止功能在所有 DNS 服务器上都已启用。

  • 任何 DNS 区域上都不允许进行不安全的动态更新。

  • 内部 DNS 服务器通过防火墙与外部 DNS 服务器进行通信,此防火墙带有所允许的源地址和目标地址的受限列表。

  • 防火墙前的外部 DNS 服务器使用指向 Internet 的根服务器的根提示进行配置。

  • 所有 Internet 名称解析都使用代理服务器和网关执行。

高安全级别

高安全级别使用与中安全级别一样的配置。它还使用在 DNS 服务器服务运行于域控制器上且 DNS 区域存储在 AD DS 中时可以使用的安全功能。此外,高安全级别完全消除了与 Internet 进行的 DNS 通信。这不是一种典型配置,但是在不需要 Internet 连接时,建议采用这种配置。高 DNS 安全级别具有下列特征:

  • 组织的 DNS 结构没有由内部 DNS 服务器执行的 Internet 通信。

  • 网络使用内部 DNS 根目录和命名空间,其中所有 DNS 区域的颁发机构都是内部的。

  • 使用转发器配置的 DNS 服务器仅使用内部 DNS 服务器 IP 地址。

  • 所有 DNS 服务器都将区域传输限定于指定 IP 地址。

  • 已将 DNS 服务器配置为侦听指定 IP 地址。

  • 缓存污染防止功能在所有 DNS 服务器上都已启用。

  • 内部 DNS 服务器使用根提示进行配置,这些根提示指向内部命名空间的根区域所在的内部 DNS 服务器。

  • 所有 DNS 服务器都在域控制器上运行。在 DNS 服务器服务上配置了随机访问控制列表 (DACL),仅允许特定的个人在 DNS 服务器上执行管理任务。

  • 所有 DNS 区域都存储在 AD DS 中。已将 DACL 配置为仅允许特定个人创建、删除或修改 DNS 区域。

  • 已在 DNS 资源记录上将 DACL 配置为仅允许特定个人创建、删除或修改 DNS 数据。

  • 为 DNS 区域配置了安全动态更新,但顶级域和根区域除外,因为它们完全不允许动态更新。


目录