Защита Windows 2000 DNS по замыслу (часть 1)

В этом техническом документе основное внимание уделяется важности защиты службы DNS вашей сети Windows, а также функциям, функциям и безопасности сервера DNS с помощью дизайна. Будут рассмотрены и определены несколько методов развертывания DNS в среде Windows 2000. Этот документ предназначен для предоставления разъяснений при включении операционных требований организаций, разрабатывающих безопасную DNS. Зная, что Windows 2000 и более поздние версии в значительной степени зависят от функционирования DNS, вы должны сосредоточиться на защите вашего ценного DNS-сервера. Windows DNS — одна из основных служб, используемых всеми сетями Windows 2000, которые соответствуют модели домена или дерева леса. Это хорошая идея, чтобы обеспечить максимальную безопасность этой службы, поскольку большая часть вашей серверной службы, такой как Microsoft ISA, exchange 2000 и любое другое коммуникационное программное обеспечение, серьезно зависит от безупречного выполнения службы DNS.

Огромные проблемы, известные в прошлом, связанные с DNS, привели к тому, что 500 компаний из списка Fortune 500 ужесточили дыры DNS BIND (Berkeley Internet Name Domain), которые были успешно заблокированы от использования. Несмотря на то, что BIND относится к UNIX, он с таким же успехом может быть Windows или разновидностью системы DNS дня. В начале 2001 года более 40% ведущих компаний имели уязвимость DNS. Эта информация была опубликована на хакерских сайтах, как только она была выпущена, и метатели яиц быстро воспользовались этой возможностью, а хакеры попытались использовать уязвимость DNS на 500 долларов. Рекомендация: не становитесь статистикой, действуйте. Будьте в курсе последних обновлений и проверяйте исправления в тестовой лаборатории, прежде чем запускать их.

Стратегия отработки отказа DNS.

Избыточность имеет первостепенное значение для любой реализации DNS. Множество приложений полагаются на DNS для разрешения имен в многоплатформенных средах. HTTP, SMTP и многие другие приложения Windows требуют DNS как жизненно важного «источника жизни», и именно поэтому организациям следует учитывать стратегию аварийного переключения при внедрении DNS.

Надежная конструкция должна включать как минимум два внутренних DNS-сервера для каждой группы из 500 пользователей. DNS-серверы должны быть распределены по всей компании в качестве стратегии балансировки нагрузки, и с помощью монитора производительности вы должны определить сегменты, которым нужны собственные DNS-серверы. Кроме того, если сегменты разделены каналами глобальной сети, рекомендуется иметь DNS-серверы на каждой стороне, чтобы предотвратить перемещение клиентов по медленным каналам глобальной сети для разрешения доменных имен. Вторичные DNS-серверы должны быть настроены на локальном сервере DHCP/WINS на каждом сайте.

Эта простая стратегия не только снижает риск выхода из строя центрального DNS-сервера, но и ускоряет решение проблем. В качестве дополнительной стратегии может быть рекомендовано установить хороший HIDS на DNS-сервере на случай, если злоумышленник затаится. Отличное проверенное и проверенное программное обеспечение будет охранять локальную сеть от GFI. Это хорошая идея, чтобы распределить свои DNS-серверы по разным подсетям, поскольку интересный урок можно извлечь из исторической атаки на DNS-серверы Microsoft за последние 5 лет.

Включите безопасность в дизайн DNS

При проектировании системы DNS становится важным, чтобы безопасность была жестко запрограммирована в проекте. Этот метод конфигурации гарантирует, что в случае несоблюдения политик будут внедрены отказоустойчивые стратегии для защиты интересов организации.

• Убедитесь, что DNS-сервер находится за брандмауэром и что DNS-сервер не работает со службами Active Directory в Интернете.
  
• Используйте переадресацию DNS и DNS-серверы интернет-провайдера в качестве средства разрешения DNS, что значительно снижает организационный риск DNS.
  
• При использовании доменов, интегрированных в Active Directory, всегда используйте частные доменные имена, при этом DNS-запрос не будет перенаправляться на DNS-серверы в Интернете.
  
• Используйте прокси-серверы для DNS-запросов клиентов в Интернете.
  
• Убедитесь, что вместо общедоступных IP-адресов используются частные IP-адреса. Эта стратегия минимизирует риски.

Защитите дизайн DNS

Обычно конструкции DNS состоят из основного DNS-сервера и нескольких клиентских DNS-серверов, известных как главные подчиненные. Первичные DNS-серверы должны размещаться организацией, а дополнительные клиентские DNS-серверы ссылаются на первичный главный DNS-сервер. Ваш основной DNS-сервер должен иметь защиту маршрутизатора и брандмауэра, поскольку он создает среду DMZ.

Раздельный дизайн DNS

Разделенная конструкция DNS использует отделение внутренних DNS-серверов от внешних DNS-серверов. Внутренние серверы содержат только внутренние записи DNS, а внешний сервер содержит только внешние записи соответственно. Злоумышленники ищут DNS-серверы, которые не разделены, и выставляют внутренние узлы в Интернет, отражая внутренние IP-адреса, к которым злоумышленник может обращаться напрямую. Эта информация затем используется для построения координатных точек сети и используется как инструмент для поиска слабого места, через которое злоумышленник может получить доступ.

Политики и процедуры DNS, которые упрощают и обеспечивают надежное управление безопасностью.

Перед внедрением любой новой сетевой службы, такой как DNS, необходимо внедрить структурированную политику безопасности. Политики и процедуры написаны для обеспечения высокого уровня безопасности и соответствия требованиям, и качество этой системы гарантирует, что уровень безопасности ни при каких обстоятельствах не снизится. Ваша политика DNS должна включать несколько фактов, которые я изложил ниже.

• Определите стратегию резервного копирования для DNS-сервера.
  
• Укажите соответствующее уполномоченное лицо, имеющее право на администрирование DNS.
  
• Определите, как следует добавлять новые записи DNS.
  
• Определите параметры безопасности и процедуры обновления, а также способы их применения.
  
• Предварительно определите стратегию отказоустойчивости/отключения, а также то, как и когда ее следует реализовать.
  
• Сформулируйте передачу зон и необходимые средства контроля соответствующих органов, поскольку это очень слабая область безопасности, если она плохо управляется в рамках Windows Windows.
  
• Убедитесь, что установлены последние пакеты обновлений.
  
• Включите ведение журнала и мониторинг в процедуру.
  
• Включите в процедуру мониторинг производительности DNS-сервера.
  
• Убедитесь, что все изменения хорошо задокументированы, а все обновления помечены, прежде чем применяться к рабочей среде.
  
• Первоначальная конфигурация должна быть задокументирована и сохранена без поправок, это поможет при необходимости на этапе восстановления.

После написания политики ваш ИТ-отдел должен обеспечить ее соблюдение. Всеобъемлющая политика и процедура — это очень хорошо. Другой вопрос, чтобы убедиться, что он применяется к DNS-серверу в рамках стратегии безопасности. Организации иногда не видят смысла в следовании комплексной политике с такими моментами, как мониторинг журналов и проверки производительности. Это основная причина того, что те же самые организации не работают несколько дней из-за «технических неполадок». Чтобы ваша организация не попала в ту же болезненную ловушку, убедитесь, что ваша документация по DNS целостна и постоянно обновляется.

DNS и его функции.

DNS используется Active Directory для обнаружения контроллеров домена и преобразования IP-адресов в полные доменные имена (полные доменные имена). Недостаточно подчеркивается, что без полнофункциональной структуры DNS активный каталог не будет функционировать должным образом. Существуют различные доступные параметры безопасности, которыми можно управлять при использовании службы сервера доменных имен (DNS) Windows 2000. Во многих случаях преимущество заключается в том, как спроектирована и защищена DNS.

Обратите внимание, что рекомендации даются в этом техническом документе, и для их выполнения часть процесса берет на себя выполнение задачи с рекомендацией в среде тестовой лаборатории. Этот процесс обеспечения качества должен тесно следовать за вашей производственной системой. После того, как вы довольны процессом рекомендации, вы должны перенести применение теории в свою производственную среду.

Функции безопасности Windows 2000.

Сценарий 1

DNS в закрытой среде

• При работе DNS в закрытой среде требуется только, чтобы DNS-серверы и операционные системы были защищены.
  
• Внешний интерфейс маршрутизатора и внешний интерфейс брандмауэра брандмауэра должны блокировать любой DNS-трафик, входящий через UDP и TCP-порт 53.
  
• Зоны DNS должны быть интегрированы и разрешать передачу зон только на серверы, перечисленные на вкладке Серверы имен.

Сценарий 2

ДНС в Интернете

• Отделите внешний DNS-сервер от внутренних DNS-серверов, используемых для домена Windows 2000.
  
• Интегрированные DNS-серверы Active Directory следует использовать во внутренней сети.
  
• Перенос зон должен выполняться на внутренних DNS-серверах.
  
• Безопасная зона переносится на внешние серверы на определенный список серверов.
  
• Защитите файловую систему
  
• Защитите реестр
  
• Отключите все неиспользуемые службы на внешних DNS-серверах.
  
• Отключите динамические обновления на внешних DNS-серверах.

Разрешение интернет-имен может выполняться внутренним DNS-сервером без ущерба для безопасности. Это можно сделать, перенаправив DNS-запросы на внешний DNS-сервер.

Если вы хотите знать, откуда приходит пользователь при выполнении запроса на вашем DNS-сервере, необходимо, чтобы на вашем внешнем DNS-сервере были включены зоны обратного поиска DNS. Эта система используется для проверки того, откуда пришел взломщик или взломщик. Этот аспект безопасности очень необходим, если вы хотите сократить время, необходимое для определения имени злоумышленника для принятия мер.

Включение обратного просмотра для защиты внутренней сети.

Стратегия 1. Чтобы нарушитель не мог правильно проложить маршрут к защищенной сети, рекомендуется включить зону обратного просмотра к внешнему DNS-серверу. Это будет сервер, содержащий каталог всех IP-адресов внутренней сети. Затем вы должны сопоставить IP-адрес с машиной Honey-net или honey-pot. Обычно это виртуальная система, которая существует исключительно для того, чтобы отслеживать тенденции злоумышленников и связывать возможные инструменты, которые может использовать каждый злоумышленник.

Стратегия 2. Для отображения записи SOA (начало полномочий) в зоне обратного просмотра рекомендуется добавить зону обратного просмотра на внешний DNS-сервер в качестве вторичной зоны, принадлежащей внутренней сети.

1. Внешний сервер необходимо добавить в список допустимых DNS-серверов, чтобы разрешить перенос зоны на один из внутренних DNS-серверов.
   
2. Маршрутизатор и брандмауэр должны быть настроены для обеспечения связи между DNS-серверами.
   
3. Никакие другие службы, кроме DNS, не должны работать на внутреннем DNS-сервере.

Предупреждение: имейте в виду, что сценарий, в котором DNS-сервер, подключенный к Интернету, имеет зону прямого и обратного просмотра, может создать проблему. Причина в том, что два леса/дерева Windows 2000 могут быть связаны через Интернет. При этом записи сервера могут быть доступны в Интернете. Ничто не мешает злоумышленнику перехватить эту информацию и построить внутреннюю сеть организации путем олицетворения и отправки действительных запросов на DNS-сервер.

Встречный подход к этому сценарию будет заключаться в использовании…

1. Протокол безопасного туннелирования, соединяющий два сайта через Интернет. Это обеспечит передачу зоны
   
2. Точные записи сервера, необходимые только для работы сети.
   
3. Конфигурация, которая поддерживает одну зону прямого и обратного просмотра внешнего DNS-сервера, настроенную как дополнительные зоны зон одного внутреннего DNS-сервера.

Это счетчики, которые защищают ваш сервер только в том случае, если они выполняются в сочетании и рассматриваются как целостная стратегия защиты DNS. Рекомендуется, чтобы передача DNS из дерева или леса была зарезервирована для частных сетей, таких как VPN и WAN, а не для скрытой передачи информации в Интернете. Передача информации через Интернет имеет серьезные недостатки, поскольку злоумышленники, располагающие большим количеством времени, склонны скрываться и ждать удобного момента, который наступит, когда организация меньше всего ожидает атаки. Чтобы предотвратить такую атаку на вашу сеть, очень важно, чтобы все ваши данные, будь то DNS, Mail, HTTP или информация, которая может показаться тривиальной, были зашифрованы или отправлены в частном туннеле, который злоумышленнику будет чрезвычайно сложно взломать.

Если следовать приведенным выше основным шагам, вы обнаружите, что меньше попыток атак на безопасность организации. В мире безопасности существует твердое убеждение, что несчастные случаи или атаки случаются, когда профессионал безопасности небрежен. Пренебрежение является сильным источником уязвимости и основной причиной того, что DNS является уязвимым местом. Как только система Windows DNS заработает, многие администраторы стараются не трогать ее, опасаясь ее поломки. Они придерживаются клише, если оно не сломано, не чините его, но я утверждаю, что если оно не обновлено, оно сломано. Будьте в курсе всех уязвимостей и исправьте уязвимости, которые открыты для внешнего мира, такие как DNS с наивысшим приоритетом. Этот тип услуг очень хорошо известен в мире злоумышленников, и каждый день появляются новые способы использования ошибок в программном обеспечении.

Вывод

В этом техническом документе демонстрируются преимущества надежного дизайна, дополняющего вашу стратегию безопасности. Специалисты по безопасности должны поддерживать целостность своих машин DNS, чтобы они были безопасными и стабильными. Многие исправления и оперативные исправления выпускаются постоянно, и своевременное их обновление повысит уровень защиты как минимум в два раза. Отличным инструментом, который можно использовать на ваших компьютерах, который может искать уязвимости и держать вас в курсе уязвимостей, является LANguard Network Security Scanner от GFI. Этот инструмент упрощает выполнение задачи, сохраняя систему управляемой и рентабельной. Поиск дополнительных уязвимостей на веб-сайтах по безопасности, таких как WindowSecurity.com, также поможет вам быть в курсе последних модных тенденций в области безопасности, продолжайте в том же духе, потому что, если вы не готовы быть уверены, существует множество злоумышленников. Убедитесь, что вы не становитесь статистикой, что-то делаете с тем, как спроектирована ваша среда DNS.