DNS软件是黑客热情攻击的目标,可能会引起安全问题。 本文提供了10种保护DNS服务器的最有效方法。
一.使用DNS转发器
DNS转发器是其他DNS服务器
完成DNS查询的DNS服务器。 使用DNS转发器的主要目的是减轻DNS处理负担,并将查询请求从DNS服务器转发到转发器,其中DNS转发器可以从更大的DNS缓存中受益。
使用DNS转发器的另一个优点是防止DNS服务器转发来自互联网DNS服务器的查询请求。 当DNS服务器存储公司域DNS资源记录时,这一点非常重要。 使用应答器处理不正确的请求,而不是递归联系内部DNS服务器或直接联系DNS服务器。
2 .使用缓冲区专用DNS服务器
仅缓冲DNS服务器是因为许可的字段名称。 用作递归查询或使用转发器。 当DNS服务器收到反馈时,结果将存储在缓存中,结果将发送到请求DNS查询的系统。 随着时间的推移,如果只缓冲DNS服务器,则可以收集大量的DNS反馈,从而大大缩短提供DNS响应的时间。 仅使用DNS服务器作为转发器可以在管理下提高组织的安全性。 内部DNS服务器可以使用仅缓冲DNS服务器作为其转发器,而仅缓冲DNS服务器,从而完成递归查询而不是内部DNS服务器。 使用自己的专用缓冲区DNS服务器作为转发器可以提高安全性,特别是在无法确定ISP DNS服务器的安全性的情况下,因为不需要将ISP DNS服务器用作转发器。
三、使用DNS广告者(DNS advertisers ) )。
DNS广告主是负责解决域中查询的DNS服务器。 例如,如果主机是向domain.com和corp.com发布的资源,则公共DNS服务器必须配置domain.com和corp.com的DNS区域文件。
DNS广告主的设置(作为DNS区域文件的主机的其他DNS服务器除外)是一个查询,DNS广告主只回答经授权的字段名称。 这种DNS服务器不会对其他DNS服务器进行递归查询。 这将阻止用户使用公共DNS服务器解析其他字段名。 通过降低与运行公共DNS分析人员(包括缓存中毒)相关的风险,提高了安全性。
四.使用DNS分析人员
DNS解析器是一个可以执行递归查询的DNS服务器,可以解析为授权的字段名。 例如,假设您在内部网上有一个DNS服务器,并且您正在许可内部网络字段名为internalcorp.com的DNS服务器。 当网络上的客户端使用此DNS服务器解析techrepublic.com时,此DNS服务器会查询其他DNS服务器以递归方式获得答案。
DNS服务器和DNS解析器的区别在于,DNS解析器仅用于解析internet主机名。 DNS解析器可以使用不允许DNS字段名的缓存专用DNS服务器。 您可以只让内部用户使用DNS解析器,也可以只让外部用户提供服务。 这消除了在无法控制的外部安装DNS服务器的需要,并提高了安全性。 当然,也可以让内外的用户同时使用DNS分析人员。
五.保护DNS免受缓存污染
DNS缓存污染已成为越来越普遍的问题。 大多数DNS服务器可以在回答发送请求的主机之前将DNS查询的结果保存在缓存中。 DNS缓存大大提高了组织中DNS查询的性能。 问题是,如果您的DNS服务器缓存被大量假DNS信息“污染”,用户可能会被送到恶意网站,而不是盐试图先访问的网站。
大多数DNS服务器可以通过配置来防止缓存污染。 WindowsServer 2003 DNS服务器的默认配置状态有助于防止缓存污染。 如果使用的是Windows 2000 DNS服务器,则可以配置该服务器,打开DNS服务器属性对话框,然后单击“高级”表。 选择“缓存污染防止”选项,然后重新打开DNS服务器。
仅将DDNS设置为安全连接
许多DNS服务器接受动态更新。 动态更新功能允许这些DNS服务器记录使用DHCP的主机的主机名和IP地址。 DNS大大降低了DNS管理员的管理费用。 否则,管理员必须手动配置这些主机的DNS资源记录。
但是,未检测到的DDNS更新可能会带来严重的安全问题。 恶意用户可以将主机配置为归档服务器、Web服务器或数据库服务器动态更新的DNS主机记录,尝试连接到这些服务器的人将始终移动到其他计算机上。 必须降低恶意DNS升级的风险,并安全连接到DNS服务器以执行动态升级。 只需将DNS服务器配置为使用Active Directory Integrated Zones,然后请求安全、动态的升级,即可轻松实现这一点。 这允许所有域成员安全、动态地更新DNS信息。
7 .禁用区域传输
本地传输在主DNS服务器和从属DNS服务器之间进行。 主DNS服务器具有可重写的DNS本地文件,可以许可特定字段名并在需要时更新。 从DNS服务器接收来自主力DNS服务器的这些本地文件的只读副本。 用于提高来自DNS服务器的内部或来自internet的DNS查询的响应速度。
但是,区域传输并不仅仅针对来自DNS的服务
务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域资料 库档。恶意使用者可以使用这些资讯来侦察您组织内部的命名计画,并攻击关键服务架构。您可以配置您的DNS服务器,禁止区域传输请求或者仅允 许针对组织内特定服务器进行区域传输,以此来进行安全防範。八. 使用防火墙来控制DNS访问
防火墙可以用来控制谁可以连接到您的DNS服务器上。对于那些仅仅回应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部使用者使用DNS协定连接外部DNS服务器。
九. 在DNS註册表中建立存取控制
在基于Windows的DNS服务器中,您应该在DNS服务器相关的註册表中设置存取控制,这样只有那些需要访问的帐户才能够阅读或修改这些註册表设置。HKLMCurrentControlSetServicesDNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制许可权。
十. 在DNS档案系统入口设置存取控制
在基于Windows的DNS服务器中,您应该在DNS服务器相关的档案系统入口设置存取控制,这样只有需要访问的帐户才能够阅读或修改这些档。
本文地址:https://www.idcbest.com/idcnews/11000663.html