DNS 服务安全措施有哪些


发现错别字 2个月前 提问
回答
1
浏览
81
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
回答数量: 1
等保中级测评师 CICSA

DNS服务安全措施有以下这些:

  • 使用DNS转发器:DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS服务器处理的压力,把查询请求从DNS服务器转给转发器,从DNS转发器潜在的更大的DNS高速缓存中受益。

  • 使用只缓冲DNS服务器:只缓冲DNS服务器是针对未授权域名的。它被用作递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈时,它把结果保存在高速缓存中,然后把结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓冲DNS服务器可以收集大量的D NS反馈,这能极大地缩短它提供DNS响应的时间。在管理控制下,把只缓冲DNS服务器作为转发器使用,可以提高组织安全性。

  • 使用DNS广告者:DNS广告者(DNS Advertisers)是一台负责解析域中查询的DNS服务器。例如,如果主机对于domain.com和corp.com是公开可用的资源,则公共DNS服务器就应该为domain.com和corp.com配置DNS区文件。

  • 使用DNS解析者:DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,可能在内部网络上有一台可授权内部网络域名internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。

  • 保护DNS不受缓存污染:DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。DNS高速缓存能够极大地提高组织内部的DNS查询性能。但如果DNS服务器的高速缓存中被大量假的DNS信息“污染”了,用户就有可能被送到恶意站点,而不是其原先想要访问的网站。

  • 使DNS只用安全连接:可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。这很容易做到,只要配置DNS服务器使用活动目录综合区(Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样,所有的域成员都能够安全地、动态更新其DNS信息。

  • 禁用区域传输:区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新,从DNS服务器从主DNS服务器接收这些区域文件的只读副本。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。

  • 使用防火墙来控制DNS访问:防火墙可以用来控制哪个用户可以连接到DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接这些DNS服务器。对于用作只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要原因是它阻止内部用户使用DNS协议连接外部DNS服务器。

  • 在DNS注册表中建立访问控制:在基于Windows的DNS服务器中,应该在DNS服务器相关的注册表中设置访问控制,这样只有那些需要访问的账户才能够阅读或修改这些注册表设置。HKLM_CurrentControlSet_Services_DNS键应该仅仅允许管理员和系统账户访问,这些账户应该拥有完全控制权限。

  • 在DNS文件系统入口设置访问控制:在基于Windows的DNS服务器中,应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的账户才能够阅读或修改这些文件。

回答所涉及的环境:联想天逸510S、Windows 10。

2个月前 / 评论