確保Windows Server 2003域上的網域名稱解析系統(domain name system,簡稱DNS)安全,是非常基本的一個要求。活動目錄(Active Directory,簡稱AD)使用DNS來定位網域控制站以及其他網域服務所需的資源(比如檔案,印表機,郵件等等)。由於DNS是活動目錄域體系不可或缺的一部分,所以從一開始就應當確保它的安全。
在Windows Server 2003上安裝DNS時,不要修改“活動目錄集成DNS”的預設設定。微軟在2000中開始提供這種設定。
這意味著系統僅僅在DNS伺服器上儲存DNS資料,而不會儲存或複製網域控制站和全域目錄伺服器上的相關資訊。這樣不僅可以提升運行速度,而且還提升了三種伺服器的運作效率。
對DNS伺服器和用戶端(或其他伺服器)之間的資料轉送進行加密也是至關重要的。DNS使用TCP/UDP的53連接埠;通過在你的安全界線上不同的點對這個連接埠進行過濾,你可以確保DNS伺服器只接受認證過的串連。
另外,這也是一個部署IPSec的好時機,來對DNS用戶端和伺服器之間的資料轉送進行加密。開啟IPSec可以確保所有用戶端和伺服器之間的通訊得到確認和加密。這意味著你的用戶端僅僅和認證過的伺服器通訊,並有助於阻止請求欺騙或損害。
配置完畢DNS伺服器之後,繼續監視串連,就像你留意企業中其他高價值目標一樣。DNS伺服器需要可用的頻寬以服務客戶的請求。
如果你看到某個源機器上朝著DNS伺服器發出了大量的網路通訊,你可能是遭受了“拒絕服務的攻擊”(denial-of-service,簡稱DoS)。直接從源頭切斷串連,或者斷掉伺服器的網路連接,直到你調查清楚問題之後再說。記住,一次成功的對DNS伺服器的DoS攻擊會直接導致活動目錄癱瘓。
使用預設的設定(動態安全更新),只有認證過的用戶端才可以註冊並補救伺服器上的入口資訊。這可以阻止攻擊者修改你的DNS入口資訊,從而誤導客戶到精心偽造的網站上以竊取財務資料等重要訊息。
你同樣可以使用配額以阻止用戶端對DNS的洪水攻擊。用戶端通常只能註冊10個記錄。通過限制單個客戶可註冊的目標數目,你可以阻止一個用戶端對它自己的DNS伺服器進行DoS攻擊。
注意:確定你對DHCP伺服器,網域控制站,以及多重主機伺服器(multi-homed)使用了不同的定額。這些伺服器依據他們提供的功能不同,可能需要註冊上百個目標或使用者。
DNS伺服器將對一個授權地區內的任何查詢請求作出響應。要想對外部世界隱藏你的內部網路架構,通常需要設定一個分隔的姓名空間,這一般意味著一台DNS伺服器負責你的內部DNS架構,另一台DNS伺服器則負責外部以及Internet的DNS架構。通過阻止外部使用者訪問內部DNS伺服器,你可以防止內部非開放資源的泄露。
最後
不管你是運行一個Windows網路,或者是UNIX和Windows的混合體,DNS的安全都應該是你網路的核心。採取措施以保護DNS免受外部和內部的攻擊。