DNS yinelemesi güvenli değil, ancak dahili uygulamalar için gerekli mi?

Bir Windows Server 2008 yönetiminde, sunucu bazı etki alanları için DNS (ad sunucusudur) ve genel olarak erişilebilir bazı uygulamaları barındırır.

Güvenlik taraması, yinelemeli sorgulara izin verdiği için DNS yapılandırmasının güvenli olmadığını gösterdi.

Yinelenen sorguların devre dışı bırakılması denendi, ancak birkaç sorun oluştu (yerel uygulamalardan gönderilen e-postalar teslim edilmedi ve üçüncü taraf bir siteye bağlanan yerel olarak çalışan bir uygulama, bağlantı için alan adını çözemedi vb.). Bu nedenle, sunucudan kaynaklanan DNS isteklerinin işlevini yerine getirmek için yinelemeli sorgulara bağlı olduğu görülmektedir.

Sunucuda barındırılan DNS sorgularının çalışmasına izin verirken, sunucuda barındırılan DNS tarafından özyinelemeli sorguları devre dışı bırakmanın bir yolu var mı? Yerel DNS sunucusundaki özyinelemeli sorguları devre dışı bırakıp bırakamayacağımızı ve ağ ayarlarındaki giden DNS'yi (8.8.8.8 gibi) harici bir şeye ayarlayabileceğimizi merak ediyorum, böylece giden DNS sorguları önce oraya gidecek ve bu sunucunun DNS'si yalnızca sona erecek aslında yerel olarak barındırdığı etki alanları için sorgulanıyor.

Zaman ayırdığınız için teşekkürler!

Tüm İnternet'e özyinelemeli arama işlevselliği sağlamamak iyi bir fikirdir, bu nedenle DNS sunucunuzu yalnızca yetkili olduğu sorguları yanıtlayacak şekilde yapılandırmak Good Thing ^{TM 'dir} .

Eğer son paragrafta ulaştınız sonuca gibi geliyor Yüzeyde iyi biridir: Yapılandırma sunucusunun kendi TCP / IP ayarları DNS sunucusu kullanmak üzere olduğu özyinelemeli aramalarını sağlamak için yetki verdi. DNS Sunucusu işlemi, sunucu bilgisayarının NIC'sindeki TCP / IP ayarlarında yapılandırılan DNS sunucularını özellikle herhangi bir şey için kullanmaz. Bunun yerine, DNS Sunucusu yapılandırmasına bağlı olarak istekleri iletir (veya kök ipuçlarını kullanır).

Sunucuda çalışan uygulamalar etki alanlarını sorgulamaya çalıştığında, o makinede çalışan DNS Sunucusu istek için yetkili olur, sonuçta o makinede çalışan DNS Sunucusu işlemine bunu yapar ve sorgu yanıtlanır.

Sunucuda barındırılan DNS sorgularının çalışmasına izin verirken, sunucuda barındırılan DNS tarafından özyinelemeli sorguları devre dışı bırakmanın bir yolu var mı?

Microsoft'un DNS sunucusuyla değil, yoktur.

ISC'nin DNS sunucusu BIND ile, kişi görünümleri olan şeyleri koruyabilir. Microsoft'un DNS sunucusunda böyle bir mekanizma yoktur. Bu nedenle, Microsoft DNS sunucusunun herhangi bir örneği için, bunun genel içerikli bir DNS sunucusu veya site yerel proxy DNS sunucusu olup olmadığını seçmesi gerekir . Bir şeyleri koruyamaz ve farklı DNS istemcileri için farklı sunucu türleri gibi davranamaz.

Güvenlik testi hizmeti / aracı oldukça doğru. Bu ise vekil hizmet sunmak değil en iyi uygulama - herhangi proxy hizmeti tür: olsun HTTP proxy hizmeti, vekil hizmet veya SMTP Gönderme hizmetini DNS - kişinin kendi sitesinde outwith İnternetin geri kalanına. Çok fazla olmalıdır sahip ayrı sunucular : Bir içerik DNS sunucusu internette herkese, başvurduğunu belirtti senin alan adları hakkında genel DNS verilerini yayınlamak; ve LAN'ınızın / kuruluşunuzun bilgisayarları adına sorgu çözümlemesinin işini yapan ve yalnızca kuruluşunuzdaki / LAN'ınızdaki makinelerin erişebildiği yerel bir proxy DNS sunucusu. Microsoft'un DNS sunucusuyla bu kolay değildir.

Makineniz de bir etki alanı denetleyicisi olsaydı özellikle zor olurdu. Bu makineye tüm İnternet'ten doğrudan erişilebildiğini belirtiyorsunuz. Böyle bir makine bir etki alanı denetleyicisiyse, şimdi ağ kuruluşunuzu yeniden düşünmelisiniz . Sadece proxy DNS hizmetini değil, çok sayıda dahili hizmeti halka sunuyorsunuz. Şimdi bunun bir etki alanı denetleyicisi olmadığı varsayımı üzerinde çalışalım.

Bir etki alanı denetleyicisi olmadığından ve yalnızca bir üye sunucu olduğundan , makinedeki DNS istemcisinin proxy için makinenin kendi DNS sunucusunu (veya başlangıçta başka bir etki alanı denetleyicisinin DNS sunucusunu) kullanması gerekmez. DNS hizmeti, bu etki alanı denetleyicileri için geçerlidir. Eğer olsaydı, makinenin DNS sunucusundaki proxy DNS hizmetini kapatamazdınız. Neyse ki, bir etki alanı denetleyicisi değil ve DNS istemcisi, proxy DNS hizmeti için kendisi değil başka bir makine kullanabilir.

Üye sunucu makinesindeki DNS istemcisinin yine de dahili bir proxy DNS sunucusu kullanması gerekir . Yalnızca ISS'niz, Google veya Active Directory'nin LAN'ınızda kullandığı tüm DNS verilerini bilmeyen başka bir tarafça sağlananlar gibi bazı harici DNS sunucularına yönlendiremezsiniz . Yine de, makinenin DNS istemcisini etki alanı denetleyicilerinizin bir veya daha fazlasındaki DNS sunucusuna yönlendirebilirsiniz. Bu oldukça basittir ve her şeyden önce LAN üzerindeki tüm iş istasyonlarınızda zaten bunu yaparsınız . Üye sunucunuzdaki DNS istemcisi, tüm iş istasyonlarınızdaki DNS istemcileri gibi yapılandırılmalıdır .

Makinenizin DNS istemcisinin proxy DNS hizmeti için makinede çalışan DNS sunucusunu kullanmadığı göz önüne alındığında, Microsoft'un DNS sunucusunu kimseye herhangi bir şekilde proxy DNS hizmeti vermeyecek şekilde yapılandırmanız yeterlidir.

daha fazla okuma

• Jonathan de Boyne Pollard (2000,2004,2007). "İçerik" ve "proxy" DNS sunucuları . Sıkça Verilen Cevaplar.
• Jonathan de Boyne Pollard (2000,2004,2007). Proxy sunucularının dinleyecek şekilde yapılandırılması gereken IP adresleri . Sıkça Verilen Cevaplar.
• Jonathan de Boyne Pollard (2003,2010). Birinin proxy DNS hizmeti alması . Sıkça Verilen Cevaplar.
• Jonathan de Boyne Pollard (2003). Bir kerede hepsi bir arada şapka olan DNS sunucu yazılımı ile içerik DNS hizmeti sağlama. . Sıkça Verilen Cevaplar.
• Jonathan de Boyne Pollard (2003). Yedek proxy DNS sunucularınız, ana adınızla aynı DNS ad alanının görünümünü sağlamalıdır. . Sıkça Verilen Cevaplar.
• Microsoft şirketi (2007-01-31). Windows 2000 Server ve Windows Server 2003'te DNS istemci ayarları için en iyi yöntemler . ID 825036.
• Nirmal Sharma (2007-09-23). DNS Etki Alanı Bölgesinde Etki Alanı Denetleyicisi SRV Kayıtları . ID 556006. Microsoft Desteği.

Evan yanıtında belirttiği gibi, uygulamalarınızın sunucuda DNS sunucusu bileşeninden tamamen bağımsız olan DNS istemci bileşenini kullanması gerekir. DNS sunucusu bileşeni, yalnızca yetkili olduğu DNS bölgeleri için kendisine gönderilen sorguları yanıtlamasına izin verecek şekilde özyineleme gerçekleştirmeyecek şekilde yapılandırılabilir.

Uygulamalar, ilgili NIC'nin TCP / IP özelliklerinde yapılandırılmış, özyineleme yapacak herhangi bir DNS sunucusunu (Google'ın DNS sunucuları gibi) kullanacak şekilde yapılandırılabilen DNS sunucularını kullanabilir. İlgili NIC'nin TCP / IP özelliklerinde yapılandırılan DNS sunucularının, aynı sunucuda çalışan DNS sunucusunu göstermesi gerekmez.

Son zamanlarda aynı sorunu yaşadım ve DNS sunucumuz amplifikasyon saldırıları için kullanılıyordu. Ancak diğer dahili sunucularımız için özyinelemeye devam etmem gerekiyor.

Bir Cisco yönlendiriciniz varsa, olası bir düzeltme. Harici DNS'imizi bir Cisco 7200VXR yönlendiriciye taşıdım ve yalnızca belirli DNS bölgelerine yanıt verecek şekilde yapılandırdım. Dahili DNS sunucularını sorgular, böylece her şeyi iki yere girmek zorunda kalmazsınız.

İşte kullandığım Cisco yapılandırmasının bir parçacığı:

ip dns view default
 dns forwarder 192.168.0.xx (internal DNS server)
 domain round-robin

ip dns view-list default
 view default 1
  restrict name-group 1

ip dns name-list 1 permit abc.com
ip dns name-list 1 permit def.com
ip dns name-list 1 permit anyotherdomainthatyouhost.com
ip dns name-list 1 permit 3.2.1.in-addr.arpa (needed for reverse PTR lookups)

interface fastethernet0/0 (the interface where the IP address is that will host DNS)
 ip dns view-group default
 ip address 1.2.3.4 secondary (use the public facing IP you will use to host DNS)

ip dns server

Ayrıca, aşağıdaki gibi bir erişim listesine sahip yönlendiriciye DNS paketlerine izin vermeyi unutmayın:

permit udp any host 1.2.3.4 eq domain