5.保護DNS不受緩存污染

DNS緩存污染已經成了日益普遍的問題。絕大(dà)部分DNS服務器(qì)都能夠将DNS查詢結果在答(dá)複給發出請(qǐng)求的主機之前，就保存在高(gāo)速緩存中。DNS高(gāo)速緩存 能夠極大(dà)地提高(gāo)你(nǐ)組織內(nèi)部的DNS查詢性能。問題是如果你(nǐ)的DNS服務器(qì)的高(gāo)速緩存中被大(dà)量假的DNS信息“污染”了的話(huà)，用戶就有(yǒu)可(kě)能被送到惡意站(zhàn)點 而不是他們原先想要訪問的網站(zhàn)。

絕大(dà)部分DNS服務器(qì)都能夠通(tōng)過配置阻止緩存污染。WindowsServer 2003 DNS服務器(qì)默認的配置狀态就能夠防止緩存污染。如果你(nǐ)使用的是Windows 2000 DNS服務器(qì)，你(nǐ)可(kě)以配置它，打開(kāi)DNS服務器(qì)的Properties對話(huà)框，然後點擊“高(gāo)級”表。選擇“防止緩存污染”選項，然後重新啓動DNS服務器(qì)。

6.使DDNS隻用安全連接

很(hěn)多(duō)DNS服務器(qì)接受動态更新。動态更新特性使這些(xiē)DNS服務器(qì)能記錄使用DHCP的主機的主機名和(hé)IP地址。DDNS能夠極大(dà)地減

輕DNS管理(lǐ)員的管理(lǐ)費用 ，否則管理(lǐ)員必須手工配置這些(xiē)主機的DNS資源記錄。

然而，如果未檢測的DDNS更新，可(kě)能會(huì)帶來(lái)很(hěn)嚴重的安全問題。一個(gè)惡意用戶可(kě)以配置主機成為(wèi)台文件服務器(qì)、Web服務器(qì)或者數(shù)據庫服務器(qì)動态更新 的DNS主機記錄，如果有(yǒu)人(rén)想連接到這些(xiē)服務器(qì)就一定會(huì)被轉移到其他的機器(qì)上(shàng)。

你(nǐ)可(kě)以減少(shǎo)惡意DNS升級的風險，通(tōng)過要求安全連接到DNS服務器(qì)執行(xíng)動态升級。這很(hěn)容易做(zuò)到，你(nǐ)隻要配置你(nǐ)的DNS服務器(qì)使用活動目錄綜合區(qū) (Active Directory Integrated Zones)并要求安全動态升級就可(kě)以實現。這樣一來(lái)，所有(yǒu)的域成員都能夠安全地、動态更新他們的DNS信息。

7.禁用區(qū)域傳輸

區(qū)域傳輸發生(shēng)在主DNS服務器(qì)和(hé)從DNS服務器(qì)之間(jiān)。主DNS服務器(qì)授權特定域名，并且帶有(yǒu)可(kě)改寫的DNS區(qū)域文件，在需要的時(shí)候可(kě)以對該文件進行(xíng)更新 。從DNS服務器(qì)從主力DNS服務器(qì)接收這些(xiē)區(qū)域文件的隻讀拷貝。從DNS服務器(qì)被用于提高(gāo)來(lái)自內(nèi)部或者互聯網DNS查詢響應性能。

然而，區(qū)域傳輸并不僅僅針對從DNS服務器(qì)。任何一個(gè)能夠發出DNS查詢請(qǐng)求的人(rén)都可(kě)能引起DNS服務器(qì)配置改變，允許區(qū)域傳輸傾倒自己的區(qū)域數(shù)據 庫文件。惡意用戶可(kě)以使用這些(xiē)信息來(lái)偵察你(nǐ)組織內(nèi)部的命名計(jì)劃，并攻擊關鍵服務架構。你(nǐ)可(kě)以配置你(nǐ)的DNS服務器(qì)，禁止區(qū)域傳輸請(qǐng)求，或者僅允 許針對組織內(nèi)特定服務器(qì)進行(xíng)區(qū)域傳輸，以此來(lái)進行(xíng)安全防範。

8.使用防火(huǒ)牆來(lái)控制(zhì)DNS訪問

防火(huǒ)牆可(kě)以用來(lái)控制(zhì)誰可(kě)以連接到你(nǐ)的DNS服務器(qì)上(shàng)。對于那(nà)些(xiē)僅僅響應內(nèi)部用戶查詢請(qǐng)求的DNS服務器(qì)，應該設置防火(huǒ)牆的配置，阻止外部主機連接 這些(xiē)DNS服務器(qì)。對于用做(zuò)隻緩存轉發器(qì)的DNS服務器(qì)，應該設置防火(huǒ)牆的配置，僅僅允許那(nà)些(xiē)使用隻緩存轉發器(qì)的DNS服務器(qì)發來(lái)的查詢請(qǐng)求。防火(huǒ)牆策略設置的重要一點是阻止內(nèi)部用戶使用DNS協議連接外部DNS服務器(qì)。

9.在DNS注冊表中建立訪問控制(zhì)

在基于Windows的DNS服務器(qì)中，你(nǐ)應該在DNS服務器(qì)相關的注冊表中設置訪問控制(zhì)，這樣隻有(yǒu)那(nà)些(xiē)需要訪問的帳戶才能夠閱讀或修改這些(xiē)注冊表設置。

HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理(lǐ)員和(hé)系統帳戶訪問，這些(xiē)帳戶應該擁有(yǒu)完全控制(zhì)權限。

10.在DNS文件系統入口設置訪問控制(zhì)

在基于Windows的DNS服務器(qì)中，你(nǐ)應該在DNS服務器(qì)相關的文件系統入口設置訪問控制(zhì)，這樣隻有(yǒu)需要訪問的帳戶才能夠閱讀或修改這些(xiē)文件。