`
caobihole
  • 浏览: 951179 次
文章分类
社区版块
存档分类
最新评论

您需要知道的10件与DNS安全有关的事情

阅读更多

Ten things you should know about securing DNS

您需要知道的10件与DNS安全有关的事情


by Dr. ThomasShinder MCSE

作者:Thomas Shinder博士 微软认证系统工程师

翻译:endurer 2005.09.14第一稿

Keywords: Security | TCP/IP | Network security
关键字:安全 | TCP/IP | 网络安全

Takeaway:
DNS software is a favorite target of hackers, which can lead to security problems. Here are some of the most effective ways to lock down DNS servers.

前言:
DNS软件是hacker们的最喜爱的目标,能导致安全问题。这儿有一些锁定DNS服务器的最有效的方法。

《endurer注:lead to v. 导致, 通向》


1. Use DNS forwarders

1.使用DNS转发器

A DNS forwarder is a DNS server that performs DNS queries on behalf of another DNS server. The primary reasons to use a DNS forwarder are to offload processing duties from the DNS server forwarding the query to the forwarder and to benefit from the potentially larger DNS cache on the DNS forwarder.

DNS转发器是代表其他DNS服务执行DNS查询的DNS服务器。主要原因是DNS转发器卸下从DNS服务器转发查询到转发器的处理任务,从DNS转发器潜在地更大DNS高速缓存中受益。

《endurer注:on behalf of adv. 代表...》

Another benefit of using a DNS forwarder is that it prevents the DNS server forwarding the requests from interacting with Internet DNS servers. This is especially important when your DNS server is hosting your internal domain DNS resource records. Instead of allowing your internal DNS servers to perform recursion and contacting DNS servers itself, configure the internal DNS server to use a forwarder for all domains for which it is not authoritative.

另一个好处是使用DNS转发器是它防止了DNS服务器转发来自与Internet相结合的DNS服务器的查询。这在您的DNS服务器是内部域DNS资源记录的宿主时特别重要。代替,而不是允许您的内部DNS服务自己执行递归和接触DNS服务器,配置内部DNS服务器为所有未授权域名使用转发器。《endurer注:
1。interact with 与...相合
2。hosting n. 群众或部队的集合, 作战
3。instead of adv. 代替, 而不是...》

2. Use caching-only DNS servers

2.使用只缓存DNS服务器

A caching-only DNS server is one that is not authoritative for any DNS domains. It's configured to perform recursion or use a forwarder. When the caching-only DNS server receives a response, it caches the result and returns the answer to the system issuing the DNS query to the caching-only DNS server. Over time, the caching-only DNS server can amass a large cache of DNS responses, which can significantly improve DNS response times for DNS clients of that caching-only DNS server.

只缓存DNS服务器是针对未授权域名的。它被配置来执行递归或者使用转发器。当只缓存DNS服务器接收到请求,它缓存结果并返回答案给向只缓存DNS服务器发出DNS查询的系统。随着时间的过去,只缓存DNS服务器能积聚大量的DNS响应缓存,这将显著地提高只缓存DNS服务器的客户机的DNS响应时间。

《endurer注:over time 随着时间的过去》

Caching-only DNS servers can improve security for your organization when used as forwarders that are under your administrative control. Internal DNS servers can be configured to use the caching-only DNS server as their forwarders and the caching-only DNS server performs recursion on behalf of your internal DNS servers. Using your own caching-only DNS servers as forwarders improves security because you don't have to depend on your ISP's DNS servers as forwarders when you're unsure of the security configuration of your ISP's DNS servers.

当只缓存DNS服务器在您的管理控制下用作转发器时,能为您的组织机构提高安全。内部DNS服务器能配置为使用只缓存DNS服务器作为它们的转发器,并做为内部DNS服务器的代表执行递归。使用您自己的只缓存DNS服务器作为转发器提高了安全,因为您在不确信您的ISP(Internet服务提供者,下同)的DNS服务器的安全配置时,不必依赖您的ISP的DNS服务器作为转发器。

《endurer注:
1。use as vt.用作,用作为
2。be sure of 确信
3。ISP =Internet Services Provider 【电脑】国际互联网络服务提供者》

3. Use DNS advertisers

3.使用DNS广告者

A DNS advertiser is a DNS server that resolves queries for domains for which the DNS advertiser is authoritative. For example, if you host publicly available resources for domain.com and corp.com, your public DNS server would be configured with DNS zone files for the domain.com and corp.com domains.

DNS广告者是解析其授权的域名查询的DNS服务器。例如,如果您做为domain.com和corp.com的公开可用资源的宿主时,您的公共DNS服务器将配置上domain.com和corp.com域名区文件。

What sets the DNS advertiser apart from any other DNS server hosting DNS zone files is that the DNS advertiser answers queries only for domains for which it is authoritative. The DNS server will not perform recursion for queries to other DNS servers. This prevents users from using your public DNS server to resolve names in other domains. This increases security by lessening the risks associated with running a public DNS resolver, which include cache poisoning.

除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。DNS服务器将不执行向其他DNS服务器的查询递归。这防止用户使用您的公开DNS服务器去解析其他域名。通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。

4. Use DNS resolvers

4.使用DNS解析者

A DNS resolver is a DNS server that can perform recursion to resolve names for domains for which that DNS server is not authoritative. For example, you might have a DNS server on your internal network that's authoritative for your internal network domain, internalcorp.com. When a client on your network uses that DNS server to resolve the name techrepublic.com, that DNS server performs recursion by querying other DNS servers to get the answer.

DNS解析者是可以执行递归以解析其未授权的域名的DNS服务器。例如,您可能有一个位于内部网络,授权内部网络域名internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。

The difference between this DNS server and a DNS resolver is that a DNS resolver is a DNS server that is dedicated to resolving Internet host names. A resolver could be a caching-only DNS server that isn't authoritative for any DNS domains. You can make the DNS resolver available to only your internal users, you can make it available only to your external users to provide a secure alternative to using a DNS server outside of your administrative control, or you can allow both internal and external users access to the DNS resolver.

这台DNS服务器和DNS解析者的区别是DNS解析者是专注解析Internet主机名。一个解析者可能是一个不授权DNS域名的只缓存DNS服务器。您能使DNS解析者只对内部用户们可用,您能使它只对外部用户们提供一个使用您管理控制外部的DNS服务器的安全的可选替代,或者您能允许内部和外部用户双方都访问DNS解析者。

5. Protect DNS from cache pollution

5.保护DNS免于缓存污染

DNS cache pollution is an increasingly common problem. Most DNS servers are able to cache the results of DNS queries before forwarding the response to the host issuing the query. The DNS cache can significantly improve DNS query performance throughout your organization. The problem is that if the DNS server cache is "polluted" with bogus DNS entries, users can subsequently be forwarded to malicious Web sites instead of the sites they intended to visit.

DNS缓存污染是一个日益增长的共同问题。大多数DNS服务器能在转发响应提出查询的主机前缓存DNS查询结果。DNS缓存可显著地增强遍及您的组织机构的DNS查询性能。问题是如果DNS服务器缓存被假DNS入口“污染”,用户随后能被转发到替代恶意站点,而不是他们查访问的站点。

Most DNS servers can be configured to prevent cache pollution. The Windows Server 2003 DNS server is configured to prevent cache pollution by default. If you're using a Windows 2000 DNS server, you can configure it to prevent cache pollution by opening the Properties dialog box for the DNS server and clicking the Advanced tab. Select the Prevent Cache Pollution check box and restart the DNS server.

大多数DNS服务器可以配置以防止缓存污染。Windows Server 2003 DNS服务器默认配置为防止缓存污染。如果你正在使用Windows 2000 DNS服务器,您可以通过打开DNS服务器的属性对话框,并点击高级选项卡,选定“防止缓存污染”复选框,重新启动DNS服务器来配置它防止缓存污染。

6. Enable DDNS for secure connections only

6.使DDNS(动态DNS)只用安全连接

Many DNS servers accept dynamic updates. The dynamic update feature enables these DNS servers to register DNS host names and IP addresses for hosts that use DHCP for host IP addressing. DDNS can be a great boon in reducing the administrative overhead for DNS administrators who otherwise would need to manually configure DNS resource records for these hosts.

一些DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。在减少需要为主机的DNS资源记录另行人工配置的DNS管理员的管理费用上,DDNS是个实惠。

《endurer注:
1。DHCP abbr. =Dynamic Host Configuration Protocol, 动态主机配置协议
2。overhead adj. 在头上的, 高架的 n. 企业一般管理费用, 天花板adv.在头顶上, 在空中, 在高处》

However, there can be a major security issue with DDNS updates if they are allowed unchecked. A malicious user can configure a host to dynamically update DNS host records of a file server, Web server, or database server and have connections that should be destined to those servers diverted to his machine instead of the intended target.

然而,在是否允许未检测的DDNS更新上可能有一个重大安全问题。一个恶意用户能配置一个主机为文件服务器,Web服务器,或数据库服务器的动态更新的DNS主机记录,有预定到这些服务器的连接转向他的机器而不是预期的目标。

You can reduce the risk of malicious DNS updates by requiring secure connections to the DNS server in order to perform the dynamic update. This is easily achieved by configuring your DNS server to use Active Directory integrated zones and requiring secure dynamic updates. All domain members will be able to dynamically update their DNS information in a secure context after you make this change.

你可以通过要求安全连接到DNS服务来执行动态更新来减少恶意DNS更新的风险.通过配置您的DNS服务器使用活动目录的集成区域(Active Directory
Integrated Zones)和要求安全动态更新来轻易实现。在你做这个改变后,所有域成员将只能按安全上下文来动态更新他们的DNS信息。

7. Disable zone transfers

7.禁用区域文件更新

Zone transfers take place between primary and secondary DNS servers. Primary DNS servers that are authoritative for specific domains contain writable DNS zone files that are updated as needed. Secondary DNS servers received a read-only copy of these zone files from primary DNS servers. Secondary DNS servers are used to improved DNS query performance throughout an organization or over the Internet.

区域文件更新发生在主力和第二DNS服务器之间。主力DNS服务器授权特定域名,包含在需要是更新的可写DNS区域文件。第二DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。第二DNS服务器用来增强整个组织机构或Internet的DNS查询性能。
《endurer注:take place v. 发生》

However, zone transfers are not limited to only secondary DNS servers. Anyone can issue a DNS query that will cause a DNS server configured to allow zone transfers to dump the entirety of its zone database files. Malicious users can use this information to reconnoiter the naming schema in your organization and attack key infrastructure services. You can prevent this by configuring your DNS servers to deny zone transfer requests or by configuring the DNS servers to allow zone transfers only to specific servers in the organization.

然而,区域文件更新不只限于第二DNS服务器。任何人可以发布一个DNS查询,该查询将引起被配置为允许区域文件更新的DNS服务倾卸其区域数据库文件的入口。恶意用户可以使用这个信息来侦察您的组织机构的名计划,并攻击关键基本设施服务。你能通过配置DNS服务器拒绝区域文件更新请求,或者配置DNS服务器只允许区域文件更新组织机构内的特定服务器来防止。

8. Use firewalls to control DNS access

8.用防火墙来控制DNS访问

Firewalls can be used to gain access control over who can connect to your DNS servers. For DNS servers that are used only for internal client queries, configure firewalls to block connections from external hosts to those DNS servers. For DNS servers used as caching-only forwarders, configure firewalls to allow DNS queries only from those DNS servers that use the caching-only forwarders. An especially important firewall policy setting is to block internal users from using the DNS protocol to connect to external DNS servers.

防火墙可以用于获得能连接到您的DNS服务器者的访问控制权。为只用于内部客户机查询的DNS服务器,配置防火墙阻塞来自外部主机对这台DNS服务器的连接。为用于只缓存转发器的DNS服务器,配置防火墙只允许使用只缓存转发器的DNS服务器的DNS查询。一个特别重要的防火墙策略设置是阻塞使用DNS协议去连接到外部DNS服务器的的内部用户。

9. Set access controls on DNS registry entries

9.在DNS登录放口设置访问控制

On Windows-based DNS servers, you should configure access controls on the DNS server-related Registry settings so that only the accounts that require access to them are allowed to read or change those Registry settings.

对于基于Windows的DNS服务器,你要在与DNS服务器相关的登录设置上配置访问控制,这样只有要求访问它们的帐号被允许读或改变这些登记设置。

The HKLM/CurrentControlSet/Services/DNS key should be configured to allow only the Administrator and System account access, and these accounts should have Full Control permissions.

(注册表中的)HKLM/CurrentControlSet/Services/DNS键需要配置为只允许管理员和系统帐号访问,并且这些帐号要有全部控制许可。

10. Set access control on DNS file system entries

10.在DNS文件系统入口设置访问控制

On Windows-based DNS servers, you should configure access controls on the DNS server-related file system entries so that only the accounts that require access to them are allowed to read or change those files.

对于基于Windows的DNS服务器,你要在与DNS服务器相关的文件系统入口上配置访问控制,这样只有要求访问它们的帐号被允许读或改变这些文件。

The %system_directory%/DNS folder and subfolders should be configured to allow only the system account to access the files, and the system account should be given Full Control permissions.

%system_directory%/DNS文件夹及其子文件夹需要配置以只允许系统帐号访问文件,并且系统帐号要有全部控制许可。

分享到:
评论

相关推荐

    企业内部的DNS服务器构建.docx

    当这样的情况发生时,你需要确认你的DNS服务器可以正确的进行相关解析,而这正是我们用nslookup要做的事情。 企业内部的DNS服务器构建全文共7页,当前为第5页。 调试配置 DNS服务器配置完以后,如何检测它是否配置...

    Avast 网络安全软件 Avast Internet Security 19.6.4546.0 中文多语免费版.zip

    推特到您的核心内容,安全购物或办理银行业务等任何您想做的事情。Internet Security 的智能威胁检测可保持您的在线身份安全。现在,还为您最重要的文件和照片添加了额外一层的反勒索软件保护。 新增防范劫持者,...

    第七节网络文明与安全.doc

    第七节 网络文明与安全 一、教学目标 知识方面: 1. 了解计算机安全使用的意义; 2. 增强对病毒的防范意识; 3. 懂一些必要的知识产权知识,树立法制观念。 技能方面: 安全用机、防病毒、知识产权常识。 情感方面:...

    网络安全注意事项.doc

    网络安全注意事项 [教学目的]:增强学生的网络安全意识,提高学生的安全警惕性,帮助学生克服网 络麻痹大意思想,积极预防网络伤害;远离黄色污染。 [重点]:增强学生的网络安全意识,克服麻痹大意思想,告诫学生...

    网络安全重要性.doc

    浅析网络安全 摘要:计算机网络技术的不断发展,加快了信息化的脚步,同时网络安全问题也日渐突 出。在网络安全问题上,我们采用防火墙技术及入侵检测技术等来提高网络安全性 能。 关键词:网络安全 防火墙 入侵检测...

    《安天365安全研究》第二期.pdf

    2.1.1 最重要的事情 2.1.2 病毒原始文件分析 2.1.3 杀毒方法 2.1.4 安全加固 2.1.5 安全提示 2.2Joomla!3.7.0 Core com_fields 组件 SQL 注入漏洞 2.2.1 漏洞简介 2.2.2 漏洞流程图 2.2.3 漏洞分析 2.2.4 补丁分析 ...

    您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。拒绝访问解决方法

    症状:安装了防火墙(包括WINXP系统自带的防火墙),出现无法Ping通,或者是访问共享资源的时候提示"XXX无法访问"、"您可能没有权限使用网络资源"、"请与这台服务器的管理员联系以查明您是否有访问权限"、"找不到...

    最新版Radmin3.4完美破解版-隐藏任务栏图标

     这些远程的计算机可以放置在因特网或您的局域网络内的任何一个地方,有了Radmin您不必需要一个快速的网络联机来在远程的计算机上工作,即使您只能利用modem来联机,您也可以每秒能够到达屏幕更新5-10次的合理速度...

    破解版为最新完美版。支持WIN7隐藏任务栏图标

     这些远程的计算机可以放置在因特网或您的局域网络内的任何一个地方,有了Radmin您不必需要一个快速的网络联机来在远程的计算机上工作,即使您只能利用modem来联机,您也可以每秒能够到达屏幕更新5-10次的合理速度...

    LINUX操作系统(电子教案,参考答案)

    最新的Linux发布版,完全安装需要占用1G以上的空间,要完全掌握这样一个庞大的系统,并不是一件容易的事情,这对于作者本身也毫不例外。读者在学习本书的过程中如遇到疑难问题或觉得不妥之处,可到相关网站的论坛...

    Windows Server 2008 活动目录视频课程csdn.txt

    8-10将根域的DNS区域复制到子域的DNS服务器09:42 8-11将计算机加入子域12:30 8-12验证跨域登录和跨域访问资源09:41 8-13为域用户添加登录主名后缀06:30 8-14目录林中两个特殊的组Enterprise Admins和Schema Admins08...

    java开源包10

    使用简便和直截了当,用户只需要加载的图片和调整帧您想要的,如位置,时间显示和处理方法前帧。 Java的PList类库 Blister Blister是一个用于操作苹果二进制PList文件格式的Java开源类库(可用于发送数据给iOS应用...

    Google Chrome 6.0.451.0 Dev 版(一个由Google公司开发的网页浏览器)

    这些通常需要执行在浏览器本身的安全等级或更高的等级。为了降低被攻击的风险,插件是在与不同的处理程序中被执行。  无痕浏览(Incognito)  Chrome包含了“无痕浏览”(Incognito)模式(与Safari的“私密浏览”...

    软件测试经典面试题 (超实用)

    9、在您以往的测试工作中,最让您感到不满意或者不堪回首的事情是什么?您是如何来对待这些事情的? 35 10、在即将完成这次笔试前,您是否愿意谈一些自己在以往的学习和工作中获得的工作经验和心得体会?(可以包括...

    计算机网络常见问题解答

    问题5-10:是否TCP和UDP都需要计算往返时间RTT? 问题5-11:假定TCP开始进行连接建立。当TCP发送第一个SYN报文段时,显然无法利用教材中5.6.3节所介绍的方法计算往返时间RTT。那么这时TCP又怎样设置重传计时器呢? ...

    docker-pi-stacks:为Raspberry Pi精选有用的Docker容器堆栈

    最好的事情是,此设置将Duck DNS和Traefik集成在一起,因此您不必记住IP地址和端口号,并使用Let's Encrypt的SSL证书来确保所有内容的安全。 此外,通过利用并使用Gi​​tHub(或任何其他受支持的Oauth 2提供程序)...

    chrome.exe

    更新检查可确保会使用最新版的安全性功能与修正程序,浏览器自动更新新的版本,不需要用户采取任何动作,更新后会在下一次启动中自动使用。 专业测评 HTML5测试 HTML5测试(3张) CSS3测评 Acid1及Acid2均顺利...

    清华大学的计算机网络课件

    问题3-15:在许多有关网络技术的书籍或文献中,经常会看到“应答”、“回答”、“响应”和“确认”等术语。这些术语的意思都一样吗? 问题3-16:连续ARQ协议中的图3-6在第2次印刷时改变了。为什么要进行这样的改变?...

    噢易机房BOSS系统介绍PPT

    机房与Internet相连,需要为每台计算机分配IP地址、计算机名,设置DNS、网关等,这是一项既麻 烦又耗时的事情。噢易机房BOSS系统修改IP地址的功能前所未有的方便,可以通过发射端收集所有网卡的 MAC地址,在发射...

Global site tag (gtag.js) - Google Analytics