经验:避免危害DNS服务器安全部署的七宗罪
DNS(Domain Name System)即域名系统是历史悠久的方法,它可以为具有IP地址的计算机分配域名,使计算机拥有字符型名称,如如IP地址为207.46.193.254的计算机即微软服务器www.microsoft.com。DNS采用了设计精良,多数时间运行都相当出色。然而,总有一些不如人意的情况,它会罢工,让管理员们头痛不已。那么如何查找其故障的蛛丝马迹?你的DNS系统中有哪些不尽如人意的地方? 有没有一些规律性的东西可以遵循?答案是肯定的,我们这儿给出DNS服务器的七大罪状,供您参考: 1.使用老版本的BIND。 Bind作为一款开放源码的DNS服务器软件,是目前世界上使用最为广泛的DNS服务器软件。几乎多数BIND 的老版本都存在着严重的、众所周知的漏洞。攻击者可以利用这些漏洞将我们的DNS域名服务器搞毁,并可以借此侵入运行它们的主机。因此应确保使用最新的BIND,并及时打补丁。 2.将所有重要的域名服务器放置到同一个子网中。 在这种情况下,一个设备的故障,如一台交换机或路由器,或一个网络连接的故障就会使互联网上的用户无法访问你的网站或向你发送电子邮件。 3.允许对未授权查询者的递归。 如果设置为下面这种情况:
则是不安全的。在这里,recursion选项指定named是否代替客户机查询其他域名服务器。通常不把域名服务器设置成关闭递归。至少我们应该对自身的客户机允许递归,但对外来查询禁止递归。因为如果可以为任意一个客户端处理递归查询,将会将域名服务器暴露给缓存投毒(Cache poisoning)和拒绝服务攻击。 4.允许那些未获得授权的辅助域名服务器进行区域传送。 区域传送(Zone Transfer)是指在多个DNS服务器之间复制区域数据库文件的过程。如果为任意的查询者提供区域传送服务,就会把域名服务器暴露给攻击者,导致服务器瘫痪。 5.没有采用DNS转发器。 DNS转发器是代表其他DNS服务执行DNS查询的服务器。许多域名服务器软件,包括微软的DNS Servers和一些更老的BIND域名服务器,并没有充分地保护自身以抵御缓存投毒,其它的DNS服务器软件也都存在着可被恶意响应利用的漏洞。但是许多管理员却允许这些域名服务器直接查询互联网上的其它域名服务器,根本不使用转发器。 6.错误地设置授权开始(Start of Authority :SOA)值。 |
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |