日期:2009-06-17 18:31:00 来源:本站整理
安全至上:保护DNS服务器十大本领[网络技术]
本文“安全至上:保护DNS服务器十大本领[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
DNS软件是黑客热衷攻击的目标,它大概带来安全问题.本文供应了10个保护DNS服务器最有效的办法.
1.利用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器.利用DNS转发器的主要目的是减轻DNS处理的压力,把查询恳求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益.
利用DNS转发器的另一个好处是它禁止了DNS服务器转发来自互联网DNS服务器的查询恳求.假如你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要.不让内部DNS服务器举行递归查询并直接接洽DNS服务器,而是让它利用转发器来处理未受权的恳求.
2.利用只缓冲DNS服务器
只缓冲DNS服务器是针对为受权域名的.它被用做递归查询大概利用转发器.当只缓冲DNS服务器收到一个反馈,它把后果保存在高速缓存中,然后把 后果发送给向它提出DNS查询恳求的系统.随着时间推移,只缓冲DNS服务器可以汇集大量的DNS反馈,这能极大地缩短它供应DNS呼应的时间.
把只缓冲DNS服务器作为转发器利用,在你的管理掌握下,可以提高组织安全性.内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器替换你的内部DNS服务器完成递归查询.利用你自己的只缓冲DNS服务器作为转发器可以提高安全性,因为你不需求依靠你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情形下,更是如此.
3.利用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器.比方,假如你的主机关于domain.com 和corp.com是公开可用的资源,你的大众DNS服务器就应当为 domain.com 和corp.com配置DNS区文件.
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只答复其受权的域名的查询.这种DNS服务器不会对其他DNS服务器举行递归 查询.这让用户不能利用你的大众DNS服务器来解析其他域名.通过削减与运行一个公开DNS解析者相关的风险,包含缓存中毒,增添了安全.
4.利用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它可以解析为受权的域名.比方,你大概在内部网络上有一台DNS服务器,受权内部网络域名 internalcorp.com的DNS服务器.当网络中的客户机利用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来履行递归 以得到答案.
DNS服务器和DNS解析者之间的辨别是DNS解析者是仅仅针对解析互联网主机名.DNS解析者可以是未受权DNS域名的只缓存DNS服务器.你可以让DNS 解析者仅对内部用户利用,你也可以让它仅为外部用户服务,这样你就不用在没有办法掌握的外部设立DNS服务器了,从而提高了安全性.当然,你也 可以让DNS解析者同时被内、外部用户利用. 5.保护DNS不受缓存污染
DNS缓存污染已经成了日益广泛的问题.绝大部份DNS服务器都可以将DNS查询后果在答复给发出恳求的主机之前,就保存在高速缓存中.DNS高速缓存 可以极大地提高你组织内部的DNS查询性能.问题是假如你的DNS服务器的高速缓存中被大量假的DNS信息"污染"了的话,用户就有大概被送到恶意站点 而不是他们原先想要拜候的网站.
绝大部份DNS服务器都可以通过配置禁止缓存污染.hack58.net/" target=_blank>WindowsServer 2003 DNS服务器默许的配置状况就可以够避免缓存污染.假如你利用的是hack58.net/" target=_blank>Windows 2000 DNS服务器,你可以配置它,翻开DNS服务器的Properties对话框,然后点击"高级"表.挑选"避免缓存污染"选项,然后重新启动DNS服务器.
6.使DDNS只用安全衔接
很多DNS服务器承受动态更新.动态更新特点使这些DNS服务器能记录利用DHCP的主机的主机名和IP地址.DDNS可以极大地减
轻DNS管理员的管理费用 ,不然管理员必须手工配置这些主机的DNS资源记录.
但是,假如未检测的DDNS更新,大概会带来很严重的安全问题.一个恶意用户可以配置主机成为台文件服务器、Web服务器大概数据库服务器动态更新 的DNS主机记录,假若有人想衔接到这些服务器就一定会被转移到其他的机械上.
你可以削减恶意DNS进级的风险,通过要求安全衔接到DNS服务器履行动态进级.这很简单做到,你只要配置你的DNS服务器利用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态进级便可以实现.这样一来,全部的域成员都可以安全地、动态更新他们的DNS信息.
7.禁用区域传输
区域传输发生在主DNS服务器和从DNS服务器之间.主DNS服务器受权特定域名,并且带有可改写的DNS区域文件,在需求的时刻可以对该文件举行更新 .从DNS服务器从主力DNS服务器接纳这些区域文件的只读拷贝.从DNS服务器被用于提高来自内部大概互联网DNS查询呼应性能.
但是,区域传输并不但仅针对从DNS服务器.任何一个可以发出DNS查询恳求的人都大概惹起DNS服务器配置改变,答应区域传输倾倒自己的区域数据 库文件.恶意用户可以利用这些信息来侦查你组织内部的命名筹划,并攻击关键服务架构.你可以配置你的DNS服务器,禁止区域传输恳求,大概仅允 许针对组织内特定服务器举行区域传输,以此来举行安全防备.
8.利用防火墙来掌握DNS拜候
防火墙可以用来掌握谁可以衔接到你的DNS服务器上.关于那些仅仅呼应内部用户查询恳求的DNS服务器,应当设置防火墙的配置,禁止外部主机衔接 这些DNS服务器.关于用做只缓存转发器的DNS服务器,应当设置防火墙的配置,仅仅答应那些利用只缓存转发器的DNS服务器发来的查询恳求.防火墙战略设置的重要一点是禁止内部用户利用DNS协议衔接外部DNS服务器.
9.在DNS注册表中成立拜候掌握
在基于hack58.net/" target=_blank>Windows的DNS服务器中,你应当在DNS服务器相关的注册表中设置拜候掌握,这样只有那些需求拜候的帐户才可以阅读或改正这些注册表设置.
HKLMCurrentControlSetServicesDNS键应当仅仅答应管理员和系统帐户拜候,这些帐户应当拥有完好掌握权限.
10.在DNS文件系统进口设置拜候掌握
在基于hack58.net/" target=_blank>Windows的DNS服务器中,你应当在DNS服务器相关的文件系统进口设置拜候掌握,这样只有需求拜候的帐户才可以阅读或改正这些文件.
%system_directory%DNS文件夹及子文件夹应当仅仅答应系统帐户拜候,系统帐户应当拥有完好掌握权限.
1.利用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器.利用DNS转发器的主要目的是减轻DNS处理的压力,把查询恳求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益.
利用DNS转发器的另一个好处是它禁止了DNS服务器转发来自互联网DNS服务器的查询恳求.假如你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要.不让内部DNS服务器举行递归查询并直接接洽DNS服务器,而是让它利用转发器来处理未受权的恳求.
2.利用只缓冲DNS服务器
只缓冲DNS服务器是针对为受权域名的.它被用做递归查询大概利用转发器.当只缓冲DNS服务器收到一个反馈,它把后果保存在高速缓存中,然后把 后果发送给向它提出DNS查询恳求的系统.随着时间推移,只缓冲DNS服务器可以汇集大量的DNS反馈,这能极大地缩短它供应DNS呼应的时间.
把只缓冲DNS服务器作为转发器利用,在你的管理掌握下,可以提高组织安全性.内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器替换你的内部DNS服务器完成递归查询.利用你自己的只缓冲DNS服务器作为转发器可以提高安全性,因为你不需求依靠你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情形下,更是如此.
3.利用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器.比方,假如你的主机关于domain.com 和corp.com是公开可用的资源,你的大众DNS服务器就应当为 domain.com 和corp.com配置DNS区文件.
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只答复其受权的域名的查询.这种DNS服务器不会对其他DNS服务器举行递归 查询.这让用户不能利用你的大众DNS服务器来解析其他域名.通过削减与运行一个公开DNS解析者相关的风险,包含缓存中毒,增添了安全.
4.利用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它可以解析为受权的域名.比方,你大概在内部网络上有一台DNS服务器,受权内部网络域名 internalcorp.com的DNS服务器.当网络中的客户机利用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来履行递归 以得到答案.
DNS服务器和DNS解析者之间的辨别是DNS解析者是仅仅针对解析互联网主机名.DNS解析者可以是未受权DNS域名的只缓存DNS服务器.你可以让DNS 解析者仅对内部用户利用,你也可以让它仅为外部用户服务,这样你就不用在没有办法掌握的外部设立DNS服务器了,从而提高了安全性.当然,你也 可以让DNS解析者同时被内、外部用户利用. 5.保护DNS不受缓存污染
DNS缓存污染已经成了日益广泛的问题.绝大部份DNS服务器都可以将DNS查询后果在答复给发出恳求的主机之前,就保存在高速缓存中.DNS高速缓存 可以极大地提高你组织内部的DNS查询性能.问题是假如你的DNS服务器的高速缓存中被大量假的DNS信息"污染"了的话,用户就有大概被送到恶意站点 而不是他们原先想要拜候的网站.
绝大部份DNS服务器都可以通过配置禁止缓存污染.hack58.net/" target=_blank>WindowsServer 2003 DNS服务器默许的配置状况就可以够避免缓存污染.假如你利用的是hack58.net/" target=_blank>Windows 2000 DNS服务器,你可以配置它,翻开DNS服务器的Properties对话框,然后点击"高级"表.挑选"避免缓存污染"选项,然后重新启动DNS服务器.
6.使DDNS只用安全衔接
很多DNS服务器承受动态更新.动态更新特点使这些DNS服务器能记录利用DHCP的主机的主机名和IP地址.DDNS可以极大地减
轻DNS管理员的管理费用 ,不然管理员必须手工配置这些主机的DNS资源记录.
但是,假如未检测的DDNS更新,大概会带来很严重的安全问题.一个恶意用户可以配置主机成为台文件服务器、Web服务器大概数据库服务器动态更新 的DNS主机记录,假若有人想衔接到这些服务器就一定会被转移到其他的机械上.
你可以削减恶意DNS进级的风险,通过要求安全衔接到DNS服务器履行动态进级.这很简单做到,你只要配置你的DNS服务器利用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态进级便可以实现.这样一来,全部的域成员都可以安全地、动态更新他们的DNS信息.
7.禁用区域传输
区域传输发生在主DNS服务器和从DNS服务器之间.主DNS服务器受权特定域名,并且带有可改写的DNS区域文件,在需求的时刻可以对该文件举行更新 .从DNS服务器从主力DNS服务器接纳这些区域文件的只读拷贝.从DNS服务器被用于提高来自内部大概互联网DNS查询呼应性能.
但是,区域传输并不但仅针对从DNS服务器.任何一个可以发出DNS查询恳求的人都大概惹起DNS服务器配置改变,答应区域传输倾倒自己的区域数据 库文件.恶意用户可以利用这些信息来侦查你组织内部的命名筹划,并攻击关键服务架构.你可以配置你的DNS服务器,禁止区域传输恳求,大概仅允 许针对组织内特定服务器举行区域传输,以此来举行安全防备.
8.利用防火墙来掌握DNS拜候
防火墙可以用来掌握谁可以衔接到你的DNS服务器上.关于那些仅仅呼应内部用户查询恳求的DNS服务器,应当设置防火墙的配置,禁止外部主机衔接 这些DNS服务器.关于用做只缓存转发器的DNS服务器,应当设置防火墙的配置,仅仅答应那些利用只缓存转发器的DNS服务器发来的查询恳求.防火墙战略设置的重要一点是禁止内部用户利用DNS协议衔接外部DNS服务器.
9.在DNS注册表中成立拜候掌握
在基于hack58.net/" target=_blank>Windows的DNS服务器中,你应当在DNS服务器相关的注册表中设置拜候掌握,这样只有那些需求拜候的帐户才可以阅读或改正这些注册表设置.
HKLMCurrentControlSetServicesDNS键应当仅仅答应管理员和系统帐户拜候,这些帐户应当拥有完好掌握权限.
10.在DNS文件系统进口设置拜候掌握
在基于hack58.net/" target=_blank>Windows的DNS服务器中,你应当在DNS服务器相关的文件系统进口设置拜候掌握,这样只有需求拜候的帐户才可以阅读或改正这些文件.
%system_directory%DNS文件夹及子文件夹应当仅仅答应系统帐户拜候,系统帐户应当拥有完好掌握权限.
以上是“安全至上:保护DNS服务器十大本领[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论