先不管是哪個方面的安全了,提到安全少不了就是要說說系統的安全,網絡的安全,不過今天主要說的是DNS的安全,不知道大家有沒有關注呢?確保Windows Server 2003域上的域名解析系統(domain name system,簡稱DNS)安全,是非常基本的一個要求。活動目錄(Active Directory,簡稱AD)使用DNS來定位域控制器以及其他域服務所需的資源(比如文件,打印機,郵件等等)。由於DNS是活動目錄域體系不可或缺的一部分,所以從一開始就應當確保它的安全。
在Windows Server 2003上安裝DNS時,不要修改“活動目錄集成DNS”的默認設置。微軟在2000中開始提供這種設定。
這意味著系統僅僅在Dns服務器上保存DNS數據,而不會保存或復制域控制器和全局目錄服務器上的相關信息。這樣不僅可以提升運行速度,而且還提升了三種服務器的運作效率。
對DNS服務器和客戶端(或其他服務器)之間的數據傳輸進行加密也是至關重要的。DNS使用TCP/UDP的53端口;通過在你的安全界線上不同的點對這個端口進行過濾,你可以確保Dns服務器只接受認證過的連接。
另外,這也是一個部署IPSec的好時機,來對DNS客戶端和服務器之間的數據傳輸進行加密。開啟IPSec可以確保所有客戶端和服務器之間的通訊得到確認和加密。這意味著你的客戶端僅僅和認證過的服務器通訊,並有助於阻止請求欺騙或損害。
配置完畢DNS服務器之後,繼續監視連接,就像你留意企業中其他高價值目標一樣。Dns服務器需要可用的帶寬以服務客戶的請求。
如果你看到某個源機器上朝著DNS服務器發出了大量的網絡通訊,你可能是遭受了“拒絕服務攻擊”(denial-of-service,簡稱DoS)。直接從源頭切斷連接,或者斷掉服務器的網絡連接,直到你調查清楚問題之後再說。記住,一次成功的對Dns服務器的DoS攻擊會直接導致活動目錄癱瘓。
使用默認的設置(動態安全更新),只有認證過的客戶端才可以注冊並更新服務器上的入口信息。這可以阻止攻擊者修改你的DNS入口信息,從而誤導客戶到精心偽造的網站上以竊取財務資料等重要信息。
你同樣可以使用配額以阻止客戶端對DNS的洪水攻擊。客戶端通常只能注冊10個記錄。通過限制單個客戶可注冊的目標數目,你可以阻止一個客戶端對它自己的Dns服務器進行DoS攻擊。
注意:確定你對DHCP服務器,域控制器,以及多宿主服務器(multi-homed)使用了不同的定額。這些服務器依據他們提供的功能不同,可能需要注冊上百個目標或用戶。
DNS服務器將對一個授權區域內的任何查詢請求作出響應。要想對外部世界隱藏你的內部網絡架構,通常需要設置一個分隔的姓名空間,這一般意味著一台DNS服務器負責你的內部DNS架構,另一台DNS服務器則負責外部以及Internet的DNS 架構。通過阻止外部用戶訪問內部Dns服務器,你可以防止內部非開放資源的洩露。
最後
現在應該都知道DNS的重要性了吧,安全更是第一位。不管你是運行一個Windows網絡,或者是UNIX和Windows的混合體,DNS的安全都應該是你網絡的核心。采取措施以保護DNS免受外部和內部的攻擊。