Andrew
2
CISP-PTE
CISM-WSE
官方采纳
Andrew2
CISP-PTE
CISM-WSE
DNS 服务器加固技术有以下两种:
使用TSIG技术
DNS的事务签名分为TSIG(Transaction Signatures)与SIG0(SIGnature)两种,首先,要判断客户端与服务器间的信任关系如何,若是可信任者,可选择对称式的TSIG。TSIG只有一组密码,并无公开/私密金钥之分;若是非完全信任者,可选择非对称式的SIG0,SIG0有公开/私密金钥之分,相对地,设定上也较复杂。至于要选用哪种较适合,就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。
交易签章(TSIGRFC 2845),是为了保护DNS安全而发展的。从BIND 8.2版本开始引入TSIG机制,其验证DNS信息的方式是使用共享金钥(Secret Key)及单向哈希函数(One-way hash function)来提供信息的验证和数据的完整性。主要针对区带传输(Zone Transfer)进行保护,利用密码学编码方式为传输的信息加密以保证DNS信息的安全,特别是响应与更新的信息数据。也就是说在DNS服务器之间进行辖区传送时所提供保护机制,以确保传输的数据不被窃取及监听。
黑客会利用IP欺骗一个DNS服务器,迫使其进行非法区带传输。TSIG技术可以进行有效防范。
使用DNSSEC技术
DNS欺骗是对目前网络应用的最大的冲击,冒名者借着提供假的网域名称与网址的对照信息,可以将不知情的用户的网页联机,导引到错误的网站,原本属于用户的电子邮件也可能因此遗失,甚至进一步公开成为阻断服务的攻击。所幸目前较新的BIND版本,针对这一类问题,已经加入许多改进的方法,不过真正的解决方案,则有赖封包认证机制的建立与推广。DNSSEC就是试图解决这一类问题的全新机制,BIND9已经加以设计并完成。DNSSEC引入两个全新的资源记录类型:KEY和SIG,它们允许客户端和域名服务器对任何DNS数据的来源进行密码验证。
DNSSEC主要依靠公钥技术对于包含在DNS中的信息创建密码签名。密码签名通过计算出一个hash数来提供DNS中数据的完整性,并将该hash数封装进行保护。公/私钥对中的私钥用来封装hash数,然后可以用公钥把hash数译出来。如果这个译出的hash数匹配接收者刚刚计算出来的hash数,那么表明数据是完整的。不管译出来的hash数和计算出来的hash数是否匹配,密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法的hash数,所以只有拥有私钥者可以加密这些信息。下面介绍如何为名称是domain.com的域建立DESSEC配置。
趣能一姐
2
CISAW安全运维(专业级)
高级信息系统项目管理师
官方采纳
趣能一姐2
CISAW安全运维(专业级)
高级信息系统项目管理师
DNS服务器加固技术有以下这些:
使用较新的DNS软件,因为其中有些可以支持控制访问方式记录DNS信息,域名解析服务器只对那些合法的请求做出响应。内部的请求可以不受限制地访问区域信息,外部的请求仅能访问那些公开的信息。
直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击,但需要记住自己要访问的IP地址。
正确配置区域传输。即只允许相互信任的DNS服务器之间才允许传输解析数据。
配合使用防火墙。使用防火墙可使得DNS服务器位于防火墙的保护之内,只开放相应的服务端口和协议。
保护DNS服务器所存储的信息。部分注册信息的登录方式仍然采用一些比较过时的方法,如采用电子邮件的方式就可以升级DNS注册信息,这些过时的方法需要添加安全措施,如采用加密的口令,或者采用安全的浏览器平台工具来提供管理域代码记录的方式。
系统管理员也可以采用分离DNS的方式,内部的系统与外部系统分别访问不同的DNS系统,外部的计算机仅能访问公共的记录。
推荐文章
