分类: 网络与安全
2010-01-21 10:51:19
以下是七种方法可以帮助你保护DNS基础设施的安全:
1.只有授权的查询者才可以使用递归,或者完全禁用递归。
你设置域名服务器是为了这样的目的:实现对域的查询,或者向内部解析器和域名服务器关于互联网域名的查询提供服务,或者两者兼而有之。如果你的域名服务器只是为了实现互联网其他域名服务器的查询,就可以完全禁用递归。如果你的域名服务器的功能还包括为内部客户查询互联网域名提供服务,就可以将查询限制为那些来自内部地址空间的查询。如果你的域名服务器包括以上两个功能,就可以考虑按照两个不同的功能采用两种不同方式保护域名服务器。如果你不能分隔这两个功能,至少要将递归功能限制为仅内部地址空间可用。
2. 将区域传送限制给授权辅助域名服务器
互联网上的大多数用户都不需要能够从你的名称服务器传送整个区域,当然也有特例,有些DNS注册要求能够从其注册者的域名服务器传送区域。如果可能的话,可以使用TSIG将区域传送限制给授权的辅助域名服务器。对于不应该进行区域传送的辅助域名服务器,完全禁用这个功能。
3. 使用转发器来减少风险
可以通过让所有内部域名服务器直接与互联网域名服务器进行通信来提供互联网域名解析。但是如果你的域名服务器存在漏洞,允许者通过恶意格式化的响应使服务器崩溃,那么你就需要花费很多时间去更新所有的漏洞域名服务器。相反的,通过较小组域名服务器的互联网域名解析被指定为转发器,这些可以夹在内部防火墙和外部防火墙之间,这样就可以将所有威胁都分割,从而减少内部网络的安全问题。
4. 运行最新的域名服务器软件
根据调查显示,大约只有一般的域名服务器运行的是最新的名称服务器代码,较老的域名服务器存在这样那样的漏洞,最好的做法就是将软件升级为最新版本。对于域名服务器,应该使用9.5或者9.6版本。
5. 保护平台安全
域名服务器软件本身并不总是黑客用于攻击域名服务器的介质,除了保护域名服务器外,你还需要保护底层的平台,你将需要禁用不必要的网络服务并移除不必要的帐户,当然如果你购买设备的话,设备就能帮你完成这些工作。
6. 检查工作
BIND域名服务器对于语法是很敏感的,任何区域数据文件或者named.conf文件中的细微错误都可能造成严重的影响,会导致SERVFAIL对查询响应或者设置会组织域名服务器重新启动。最新版本的BIND就保护两个非常游泳的工具,named-checkconf和 named-checkzone,这样就可以使用这两个工具来检查named.conf和区域数据文件的语法(在重新载入前),或者使用GUI来避免基本语法的复杂性。
7. 限制管理权限
在运行域名服务器的主机行,确保只有授权的用户才有管理权限,并且需要对他们的操作活动进行日志记录,这在Unix和Linux主机上会比较麻烦,因为拥有root访问权的用户可以做任何事情。但是你的操作系统可能可以支持更多分隔的管理访问权限,或者你可以使用来设置管理权限,还有些商业产品也能够提供这些功能。
