dns服务器十大技巧:保护DNS服务器十大窍门技巧来源: 发布时间:星期四, 2009年12月10日 浏览:0次 评论:0
=Apple-style-span style="WORD-SPACING: 0px; FONT: medium Simsun; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORDER-COLLAPSE: separate; -webkit-text-size-adjust: auto; orphans: 2; widows: 2; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-stroke-width: 0px">=Apple-style-span style="FONT-SIZE: 14px; LINE-HEIGHT: 26px; FONT-FAMILY: 宋体">
DNS软件Software是黑客热衷攻击
 目标 它可能带来安全问题 本文提供了10个保护DNS服务器最有效思路方法1.使用DNS转发器 DNS转发器是为其他DNS服务器 完成DNS查询 DNS服务器使用DNS转发器主要目是减轻DNS处理压力把查询请求从DNS服务器转给转发器 从DNS转发器潜在地更大DNS高速缓存Cache中受益使用DNS转发器 另 个好处是它阻止了DNS服务器转发来自互联网DNS服务器查询请求如果你DNS服务器保存了你内部域DNS资源记录话 这点就非常重要不让内部DNS服务器进行递归查询并直接联系DNS服务器而是让它使用转发器来处理未授权请求2.使用只缓冲DNS服务器 只缓冲DNS服务器是针对为授权域名 它被用做递归查询或者使用转发器当只缓冲DNS服务器收到个反馈它把结果保存在高速缓存Cache中然后把 结果发送给向它提出DNS查询请求系统随着时间推移只缓冲DNS服务器可以收集大量DNS反馈这能极大地缩短它提供DNS响应时间把只缓冲DNS服务器作为转发器使用 在你管理控制下可以提高组织安全性内部DNS服务器可以把只缓冲DNS服务器当作自己转发器只缓冲 DNS服务器代替你内部DNS服务器完成递归查询使用你自己只缓冲DNS服务器作为转发器能够提高安全性 你不需要依赖你ISPDNS服务 器作为转发器在你不能确认ISPDNS服务器安全性情况下更是如此3.使用DNS广告者(DNS advertisers) DNS广告者是 台负责解析域中查询DNS服务器例如如果你主机对于do .com 和corp.com是公开可用资源你公共DNS服务器就应该为 do.com 和corp.com配置DNS区文件除DNS区文件宿主 其他DNS服务器的外DNS广告者设置是DNS广告者只回答其授权域名查询这种DNS服务器不会对其他DNS服务器进行递归 查询这让用户不能使用你公共DNS服务器来解析其他域名通过减少和运行个公开DNS解析者相关风险包括缓存Cache中毒增加了安全4.使用DNS解析者 DNS解析者是 台可以完成递归查询DNS服务器它能够解析为授权域名例如你可能在内部网络上有台DNS服务器授权内部网络域名  ernalcorp.comDNS服务器当网络中客户机使用这台DNS服务器去解析techrepublic.com时这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案DNS服务器和DNS解析者的间 区别是DNS解析者是仅仅针对解析互联网主机名DNS解析者可以是未授权DNS域名只缓存CacheDNS服务器你可以让DNS 解析者仅对内部用户使用你也可以让它仅为外部用户服务这样你就不用在没有办法控制外部设立DNS服务器了从而提高了安全性当然你也 可以让DNS解析者同时被内、外部用户使用5.保护DNS不受缓存Cache污染 DNS缓存Cache污染已经成了日益普遍 问题绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求主机的前就保存在高速缓存Cache中DNS高速缓存Cache 能够极大地提高你组织内部DNS查询性能问题是如果你DNS服务器高速缓存Cache中被大量假DNS信息“污染”了话用户就有可能被送到恶意站点 而不是他们原先想要访问网站WebSite绝大部分DNS服务器都能够通过配置阻止缓存Cache污染 WindowsServer 2003 DNS服务器默认配置状态就能够防止缓存Cache污染如果你使用是Windows 2000 DNS服务器你可以配置它打开DNS服务器Properties对话框然后点击“高级”表选择“防止缓存Cache污染”选项然后重新启动DNS服务器6.使DDNS只用安全连接 很多DNS服务器接受动态更新 动态更新特性使这些DNS服务器能记录使用DHCP主机主机名和IP地址DDNS能够极大地减轻DNS管理员管理费用 否则管理员必须手工配置这些主机DNS资源记录然而 如果未检测DDNS更新可能会带来很严重安全问题个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 DNS主机记录如果有人想连接到这些服务器就定会被转移到其他机器上你可以减少恶意DNS升级 风险通过要求安全连接到DNS服务器执行动态升级这很容易做到你只要配置你DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现这样来所有域成员都能够安全地、动态更新他们DNS信息7.禁用区域传输 区域传输发生在主DNS服务器和从DNS服务器的间 主DNS服务器授权特定域名并且带有可改写DNS区域文件在需要时候可以对该文件进行更新 从DNS服务器从主力DNS服务器接收这些区域文件只读拷贝从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能然而 区域传输并不仅仅针对从DNS服务器任何个能够发出DNS查询请求人都可能引起DNS服务器配置改变允许区域传输倾倒自己区域数据 库文件恶意用户可以使用这些信息来侦察你组织内部命名计划并攻击关键服务架构你可以配置你DNS服务器禁止区域传输请求或者仅允 许针对组织内特定服务器进行区域传输以此来进行安全防范8.使用防火墙来控制DNS访问 防火墙可以用来控制谁可以连接到你 DNS服务器上对于那些仅仅响应内部用户查询请求DNS服务器应该设置防火墙配置阻止外部主机连接 这些DNS服务器对于用做只缓存Cache转发器DNS服务器应该设置防火墙配置仅仅允许那些使用只缓存Cache转发器DNS服务器发来查询请求防火墙策略设置重要点是阻止内部用户使用DNS协议连接外部DNS服务器9.在DNS注册表中建立访问控制 在基于Windows DNS服务器中你应该在DNS服务器相关注册表中设置访问控制这样只有那些需要访问帐户才能够阅读或修改这些注册表设置HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问 这些帐户应该拥有完全控制权限10.在DNS文件系统入口设置访问控制 在基于Windows DNS服务器中你应该在DNS服务器相关文件系统入口设置访问控制这样只有需要访问帐户才能够阅读或修改这些文件%system_directory%\DNS文件夹及子文件夹应该仅仅允许系统帐户访问 系统帐户应该拥有完全控制权限
0
相关文章读者评论发表评论 |
|
 |
专注于互联网--专注于架构 |
最新标签 网站地图 文章索引 Rss订阅 |
