Защита Windows 2000 DNS с помощью конфигурации (часть 2)

В этом техническом документе основное внимание уделяется настройке DNS с целью обеспечения безопасности DNS. Предыдущий технический документ был написан по проектированию безопасности DNS, и использование обоих официальных документов позволит получить более целостное представление о безопасности DNS. Нажмите здесь, чтобы прочитать часть 1. В этом техническом документе демонстрируется важность защиты службы DNS вашей сети Windows, а также функции, функции и безопасность сервера DNS путем управления конфигурацией. Для помощи организациям в безопасной настройке своих DNS-серверов было разработано несколько методов настройки и краткое руководство по настройке. Этот документ предназначен для предоставления разъяснений при включении требований к рабочей конфигурации конфигурации защищенной DNS организации. Зная, что Windows 2000 и более поздние версии в значительной степени зависят от функционирования DNS, вы должны сосредоточиться на защите вашего ценного DNS-сервера. Windows DNS — одна из основных служб, используемых всеми сетями Windows 2000, которые соответствуют модели домена или дерева леса. Это хорошая идея, чтобы обеспечить максимальную безопасность этой службы, поскольку большая часть вашей серверной службы, такой как Microsoft ISA, exchange 2000 и любое другое коммуникационное программное обеспечение, серьезно зависит от безупречного выполнения службы DNS.

DNS и операционная система.

Независимо от того, какая операционная система выбрана, необходимо, чтобы операционная система была надежной. Когда система Windows установлена, вы обнаружите, что административные общие ресурсы и принтеры скрытно доступны любому, кто понимает, как манипулировать системой. Крайне важно, чтобы все неиспользуемые учетные записи были удалены с установленной машины, а учетная запись администратора была переименована на машине и создана фиктивная учетная запись под названием администратор с самыми низкими доступными привилегиями. Все общие ресурсы по умолчанию должны быть закрыты, а неиспользуемые службы должны быть остановлены. DNS-сервер должен быть выделен только для DNS. Это гарантирует, что на машине не будет установлено другое программное обеспечение, в котором могут быть скрыты определенные уязвимости. Убедитесь, что к DNS-серверу применено множество оперативных исправлений и исправлений безопасности.

Рекомендации по конфигурации.

1. Убедитесь, что в операционной системе установлены все последние пакеты обновлений.
2. Убедитесь, что учетная запись администратора хорошо защищена.
3. Убедитесь, что DNS-машина настроена таким образом, что никакая другая служба, кроме DNS, не запущена.
4. Убедитесь, что на этом компьютере отключен общий доступ ко всем общим ресурсам по умолчанию и что анонимный доступ к службам запрещен.
5. Убедитесь, что все неиспользуемые порты закрыты.

Защита передачи зон

Знание того, как управлять передачей зон, чрезвычайно важно при защите DNS-серверов в среде Windows. Windows 2000 позволяет изменять списки доступа, доступные для каждой отдельной зоны управления и передачи зоны. Передача зон отвечает за перемещение всех записей для конкретной зоны с соответствующего сервера на другой, и особенно следует отметить, что зона прямого просмотра не должна передаваться на DNS-сервер, содержащий информацию о домене Windows 2000, на любой сервер. вне домена Windows 2000. Это можно сделать во вкладке Zone Transfer свойств конкретного доменного имени в DNS MMC.

Если хотите, вы можете указать список IP-адресов, на которые вы можете разрешить передачу зон. Этот параметр позволяет детально контролировать передачу зон с помощью списка IP-адресов, и только IP-адреса, отраженные в списке, будут авторизованными кандидатами для возможных передач зон. Этот параметр значительно повышает безопасность переноса зоны DNS, и рекомендуется использовать этот параметр везде, где это возможно, поскольку он снижает вероятность несанкционированного переноса зоны. Эта опция активируется на вкладке Zone Transfer свойств доменного имени в DNS MMC. Если вы хотите включить режим без передачи зон, рекомендуется, если вы уверены, что ваши зоны не будут переданы. Этот параметр чрезвычайно безопасен и не представляет опасности, поскольку отсутствует возможность олицетворения или подделки сервера передачи зоны клонирования. Эта стратегия рекомендуется для таких организаций, как банки и военные операции, где перенос зоны может иметь катастрофические последствия.

При настройке параметров маршрутизатора и брандмауэра вы можете убедиться, что только определенные IP-адреса могут запрашивать ваши DNS-серверы, такие как DNS-серверы вашего интернет-провайдера или филиал, подключенный через Интернет. DNS-трафик передается через UDP и TCP-порт 53. Для этого брандмауэр и маршрутизатор должны открыть эти порты, чтобы клиенты и другие серверы могли использовать DNS.

Все клиентские запросы передаются через UDP-порт 53, а TCP-порт 53 используется для передачи зон. Традиционно зоны передаются за пределы защищенной сети, поэтому следует избегать TCP-порта 53. Порт передачи зоны, а именно TCP-порт 53, должен быть заблокирован на внутреннем, внешнем, межсетевом экране и маршрутизаторах DMZ. Если DNS настроен на разрешение передачи зон обратного просмотра между внутренним и внешним DNS-серверами, внутренний маршрутизатор, брандмауэр и маршрутизатор DMZ должны разрешать соединения через TCP-порт 53 только между внутренним и внешним DNS.

Защита местоположения информации о зоне, которую использует DNS-сервер, имеет жизненно важное значение для обеспечения благополучия организаций в Интернете. Рекомендуется преобразовать DNS-сервер в интегрированную зону Active Directory. Преимущества этого типа зон велики и включают в себя хранимую информацию о зоне., реплицированы и защищены в Active Directory.

Если эта функция используется, для динамических обновлений включается параметр «Только безопасные обновления».

Этот параметр рекомендуется при разрешении динамических обновлений, что является необходимой функцией для домена Windows 2000. Убедитесь, что только система и администраторы имеют полный доступ к каталогу и подпапкам %SystemDirectory%DNS, а реестр всех DNS-серверов защищен. Защитите реестр DNS-серверов, убедившись, что HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDNS назначен администраторам и системе для полного контроля.

Резюме Контрольный список настройки безопасности службы DNS-сервера Windows 2000.

Маршрутизаторы, IDS и брандмауэр являются неотъемлемой частью конфигурации безопасности DNS.

Надлежащее ведение журнала и настройка являются важной частью всех реализаций безопасности, и эта методология должна соблюдаться и внедряться на DNS-сервере. Брандмауэр и интернет-маршрутизатор должны поддерживать и включать подробное ведение журнала, чтобы дать административным рычагам возможность определить, что происходит или произошло во время атаки. Журнал в реальном времени идеален, потому что он покажет вам поток пакетов от источника к месту назначения и даст вам рентгеновское представление о том, что происходит на вашем DNS-сервере.

Чтобы максимально использовать преимущества правильно настроенного ведения журнала, журналы необходимо отслеживать на предмет любого подозрительного трафика, который может совершать транзакции, и должна присутствовать хорошая стратегия обслуживания, чтобы гарантировать, что журналы читаются и что оповещения обрабатываются на постоянной основе.. Если журналы надлежащим образом отслеживаются, риски сводятся к минимуму, а вероятность того, что злоумышленники проникнут через реализованные меры безопасности, резко снижается.

Конфигурация брандмауэра

Преобразование сетевых адресов (NAT) — очень хорошая стратегия для использования во многих сетях, и ее следует реализовывать в демилитаризованной зоне, где бы ни находился DNS-сервер. NAT добавляет дополнительную защиту от хакеров и злоумышленников, поскольку скрывает проблему, переводя IP-адреса в заранее определенные диапазоны адресов. Кроме того, ваш брандмауэр должен быть настроен только для разрешения передачи DNS-трафика на DNS-сервер, обычно это TCP-трафик для передачи зон и UDP-порт 53 для DNS-запросов. Другой трафик нельзя передавать на сервер DNS, и его следует рассматривать как несанкционированный трафик DNS. Расследование несанкционированного трафика должно быть проведено сразу же после отправки указанных предупреждений.

Безопасная конфигурация маршрутизатора

При настройке маршрутизатора конфигурация должна быть написана таким образом, чтобы IP-маршрут к вашему DNS-серверу разрешал только TCP и UDP-порт 53 для доступа к IP-адресу DNS-сервера. Таким образом, и маршрутизатор, и брандмауэр отбрасывают любой пакет, предназначенный для маршрутизатора, который не является DNS-запросом.

Этот контрольный список был разработан как всеобъемлющий контрольный список рекомендуемой конфигурации Windows 2000.

DNS в закрытой среде

1. Отключите все неиспользуемые службы.
2. Сделайте зоны DNS интегрированными с Active Directory.
3. Перенос зон только на серверы, указанные на вкладке Name Servers.
4. Заблокируйте порт 53 UDP и TCP на внешних маршрутизаторах и брандмауэрах.

DNS с присутствием в Интернете

1. Отдельный внешний DNS должен обрабатывать DNS-запросы Интернета.
2. Отключите все неиспользуемые службы.
3. Оставьте информацию HINFO ненастроенной, так как она может раскрывать соответствующую информацию о серверных платформах злоумышленникам, которым эта информация нужна для поиска соответствующего программного эксплойта, соответствующего операционной системе или программному обеспечению, которое вы используете.
4. Папка, подпапка и файлы %SystemDirectory%DNS, чтобы разрешить только полный доступ к системе.
5. Установите для ACL в HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDNS полный доступ к системе.

Защитите внутренний DNS

1. Отключите все неиспользуемые службы.
2. Блокируйте UDP и TCP порт 53 на периферийных маршрутизаторах и брандмауэрах.
3. При использовании передачи зоны разрешите TCP-порт 53 через периферийные маршрутизаторы и брандмауэр, соединяющий только внутренний и внешний DNS-серверы.
4. Преобразование зон DNS в интегрированные зоны Active Directory.
5. Разрешить передачу зон только на серверы, перечисленные на вкладке Серверы имен. Не разрешайте передачи для перенаправления зон блокировки на внешние DNS-серверы.
6. Разрешить передачу зон обратного просмотра на внешние DNS-серверы только в случае необходимости.

Вывод

Настроив DNS для безопасного выполнения, специалисты по безопасности могут поддерживать целостность своих DNS-машин. Это, в свою очередь, повышает надежность и производительность DNS-сервера и гарантирует, что коммуникация организации будет проходить в изобилии. Постоянно выпускается множество исправлений и исправлений, и своевременное их обновление повысит уровень защиты как минимум в два раза. Если ваша конфигурация неверна, никакой уровень исправлений не исправит это, и это заявление подчеркивает важность безопасной конфигурации. Отличным инструментом, который можно использовать на ваших компьютерах, который может искать уязвимости и держать вас в курсе уязвимостей, является LANguard от GFI. Этот инструмент упрощает выполнение задачи, сохраняя систему управляемой и рентабельной. Поиск дополнительных уязвимостей на веб-сайтах безопасности, таких как windowsseurity.com, также поможет вам быть в курсе последних модных тенденций в области безопасности, продолжайте в том же духе, потому что, если вы не готовы быть уверены, есть множество злоумышленников, которые готовы.

DNS и его функции.

DNS используется Active Directory для обнаружения контроллеров домена и преобразования IP-адресов в полные доменные имена (полные доменные имена). Недостаточно подчеркивается, что без полнофункциональной структуры DNS активный каталог не будет функционировать должным образом. Существуют различные доступные параметры безопасности, которыми можно управлять при использовании службы сервера доменных имен (DNS) Windows 2000. Во многих случаях преимущество заключается в том, как спроектирована и защищена DNS.

Обратите внимание, что рекомендации даются в этом техническом документе, и для их выполнения часть процесса берет на себя выполнение задачи с рекомендацией в среде тестовой лаборатории. Этот процесс обеспечения качества должен тесно следовать за вашей производственной системой. После того, как вы довольны процессом рекомендации, вы должны перенести применение теории в свою производственную среду.