В последней статье я рассказал о некоторых основных
аспектах безопасности DNS, включая также некоторые основы
самого DNS. Некоторые их концепций безопасности требуют
интеграции DNS с Active Directory, а также обеспечения более
безопасной среды DNS со связью с DHCP. Это очень простая и
мощная конфигурация для вашей среды DNS. Однако, не стоит на
этом останавливаться! Вы лишь коснулись поверхности того, что
относиться к обеспечению безопасности для вашей среды DNS. В
этой статье, посвященной обеспечению безопасности DNS, мы
пойдем глубже и узнаем о том, как обеспечить безопасность базы
данных DNS database, особенно при взаимодействии с другими
серверами DNS. DNS сервера должны взаимодействовать с другими
серверами DNS, чтобы обновлять свою базу данных. Такое
взаимодействие может быть идеальной ситуацией для
злоумышленника, чтобы воспользоваться выявленной уязвимостью.
Если вы предпримите правильные меры для обеспечения безопасной
настройки DNS, то риск возникновения такой ситуации
существенно снизится.
Передача зон (Zone transfers)
Когда дело касается зон DNS, то вы должны понимать, что
существуют различные типы зон, которые вы должны выделить в
своей среде DNS. Хотя мы сфокусируемся лишь на нескольких из
возможных зон, существует список зон, которые вы можете
выделить в своем DNS:
- Зона, интегрированная в Active Directory
- Основная зона (Primary Zone)
- Дополнительная зона (Secondary Zone)
- Зона заглушек (Stub Zone)
В последней статье мы обсуждали зону, интегрированную в
Active Directory. При этом зона, интегрированная в Active
Directory, работала как основная зона. Причина этого
заключалась в том, в рамках статьи основная зона (primary
zone, а также зона, интегрированная в Active Directory) – это
зона, которая производит записи в базе данных DNS.
Дополнительные зоны не производят записи в базу данных DNS
database. Дополнительные зоны лишь осуществляют передачу
обновлений из основных зон primary DNS zone. Передача
обновлений из основной зоны в дополнительную называется
передачей зоны (zone transfer).
Интерфейс передачи зон достаточно понятен из ваших
настроек, как вы можете увидеть на рисунке 3. Вы можете либо
разрешить “любому” серверу DNS получать содержимое основной
зоны (primary zone), либо вы может сузить это множество до
нескольких серверов DNS на ваше усмотрение. Конечно, в целях
безопасности вы должны сузить рамки DNS сервером, которым
разрешено получать IP адреса и доменное имя для всех
компьютеров в вашей организации!
Рисунок 3: Интрефейс
для зон передачи для Windows DNS
Обеспечение безопасности передачи зон
Вы также можете обеспечивать безопасность зон передачи DNS
zone transfers на другом уровне. Обеспечение безопасности DNS
– это не радикальная концепция, большинство компаний на
сегодняшний день делают дополнительные настройки для
обеспечения безопасности зон передачи DNS zone transfers. Есть
несколько настроек для обеспечения безопасности DNS и зон
передачи. Здесь все зависит от того, как настроена ваша среда
DNS.
Во-первых, необходимо использовать IPSec или VPN туннель
между серверами DNS, чтобы обеспечить зашифрованное
взаимодействие с базой данных DNS, во время ее передачи по
сети. IPSec очень распространен для соединений между серверами
DNS, которые располагаются в одной сети. Если ваши сервера DNS
должны проходить через незащищенную сеть (insecure network),
то используется VPN. Если вы используете VPN для обеспечения
безопасности данных, проходящих по незащищенной сети, то
обычно используется L2TP. L2TP использует более безопасный
алгоритм шифрования для защиты данных, передаваемых по сети.
Вторая настройка для защиты данных при их передачи от
одного сервера DNS на другой сервер DNS – это использовать
интеграцию с Active Directory. Это требует, чтобы сервера DNS
работали на домене Active Directory. Это также требует, чтобы
сервера DNS были запущены на контроллере домена (domain
controller). Однако при этом достигаются значительные
преимущества. Т.к. данные хранятся и копируются с
использованием средств копирования Active Directory, то данные
шифруются при передаче от одного сервера DNS к другому DNS.
Другие преимущества интеграции DNS с Active Directory
заключается в том, что все соединения изначально
аутентифицированы. Это помогает защитить зоны передачи, обязуя
сервер DNS пройти аутентификацию в базе данных Active
Directory перед копированием информации.
Переадресация (все четыре типа)
Еще одни способ защиты вашей среды DNS заключается в
использовании некоторых настроек для переадресации. Это может
помочь вам поддерживать стабильную DNS инфраструктуру,
гарантируя, что компьютеры и приложения могут по-прежнему
иметь доступ к правильному серверу в сети. Есть несколько
настроек для переадресации (forwarding) внутри среды Microsoft
DNS.
Первая – это стандартная переадресация, изображенная на
рисунке 4, при которой все запросы, не касающиеся данного DNS
сервера, участвующего в процессе, передаются на другие сервера
DNS … переадресуются. Это идеально в тех ситуациях, когда у
вас есть внутренний DNS сервер, который используется для всех
внутренних названий и Active Directory. Этот сервер DNS
настроен для всех клиентов. Однако, этот сервер DNS ничего не
знает о названиях в Internet. Поэтому, когда DNS сервер
получает запрос, предназначенный для Интернет, то такой запрос
передается на другой сервер DNS, который может обработать этот
запрос. Это помогает вам защитить внутренние сервера DNS от
использования компьютерами, которые являются внешними для
вашей сети.
Рисунок 4:
Переадресация для сервера Windows DNS server
Еще одна настройка, которая есть у нас в распоряжении, это
сделать переадресацию более направленной. Это сможет
гарантировать, что все запросы попадут (будут переадресованы)
на нужный сервер DNS, что сведет риск взлома информации к
минимуму. Эта настройка называется условной переадресацией
(conditional forwarding), и изображена в верхней части на
рисунке 4. Ее можно использовать в среде, где у вас
используются несколько внутренних пространств имен DNS
namespaces, и вы не хотите полагаться на Интернет или
некоторые другие инфраструктуры DNS для преобразования имен. В
этом случае каждый сервер DNS передает запросы на другие
пространства имен для клиентов.
Резюме
DNS может быть сложным, но после более подробного
рассмотрения он уже кажется не таким сложным, и его можно
правильно обезопасить. В этой статье вы увидели, что DNS может
защитить базу данных, настроенную для правильных серверов DNS,
которые должны передавать зоны передачи. В такой ситуации ваши
основные зоны, или зоны, интегрированные в Active Directory,
будут иметь специальные дополнительные сервера DNS, с которыми
они будут взаимодействовать. Без такой конфигурации, хакерские
сервера DNS могут получить очень важную информацию
относительно вашей сети. Еще одна возможность для обеспечения
безопасности DNS. Безопасность DNS серверов можно обеспечить
за счет интеграции с Active Directory, или за счет более
современных технологий, как IPSec или VPN туннель. Наконец,
контроль над переадресацией DNS может гарантировать более
точное преобразование имен, а также поможет лучше защитить
ваши внутренние DNS сервера от взлома.