Konfigurácia všetkých zón DNS iba na povolenie prenosov zóny na zadané IP adresy
Prečo vezmite do úvahy toto
Ak je nastavenie prenosu zóny nakonfigurované na povolenie prenosov zóny na ľubovoľný server, môžete údaje zóny DNS (Domain Name System) odoslať na server DNS. Vďaka týmto údajom o zóne DNS môže byť vaša sieť zraniteľnejšia voči útokom, pretože útokníci budú používať tieto údaje zóny DNS, aby im pomohli zmapovať vašu sieť z hľadiska názvov domén, názvov počítačov a IP adries citlivých sieťových zdrojov.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené & z kontextu
Proces replikovania zónového súboru na viaceré DNS servery sa nazýva prenos zóny. Prenos zóny je možné dosiahnuť skopírovaním zónového súboru z jedného DNS servera na druhý server DNS. Hlavný DNS server je zdrojom informácií o zóne počas prenosu. Hlavným DNS serverom môže byť primárny alebo sekundárny DNS server. Ak je hlavný DNS server primárnym DNS serverom, prenos zóny pochádza priamo z DNS servera, ktorý hosťuje primárnu zónu. Ak je hlavný server sekundárnym DNS serverom, súbor zóny prijatý z hlavného DNS servera prostredníctvom prenosu zóny je kópiou sekundárneho zónového súboru iba na čítanie.
DNS systém bol pôvodne navrhnutý ako otvorený protokol, a preto je zabezpečený proti útokom. Služba DNS Servera predvolene umožňuje preniesť len informácie o zóne na servery uvedené v záznamoch zdrojov názvového servera zóny. Toto je zabezpečená konfigurácia, ale na zvýšenie zabezpečenia by sa toto nastavenie malo zmeniť na možnosť, ktorá umožní prenos zóny na zadané IP adresy. Ak sa toto nastavenie zmení a povolí prenos zóny na ľubovoľný server, môžu sa vaše DNS údaje vystaviť útokom, ktorý sa pokúsi pre oblasť vašej siete.
Rozlišovanie je proces, prostredníctvom ktorého útočník získa údaje z DNS zóny, aby útočníkovi poskytli názvy DOMÉN DNS, názvy počítačov a IP adresy pre citlivé sieťové zdroje. Útočník bežne začne útok tým, že na diagram alebo stopu siete používa tieto DNS údaje. DNS doména a názvy počítačov zvyčajne označujú funkciu alebo umiestnenie domény alebo počítača, aby si používatelia ľahšie pamätáli a jednoduchšie identifikovali domény a počítače. Útočník využíva rovnaký princíp DNS a dozvie sa funkciu alebo umiestnenie domén a počítačov v sieti.
Pozrite si nasledujúce pokyny na konfiguráciu prenosu zóny z bodu na usporiadanie zabezpečenia:
- Zabezpečenie na nízkej úrovni: Všetky DNS zóny umožňujú prenos zóny na ľubovoľný server.
- Zabezpečenie na strednej úrovni: Všetky DNS zóny obmedzujú prenosy zóny na servery uvedené v záznamoch zdrojov názvového servera (NS) vo svojich zónach.
- Zabezpečenie na vysokej úrovni: Všetky DNS zóny obmedzujú prenos zóny na zadané IP adresy.
Navrhované akcie
Ak chcete nakonfigurovať DNS zónu na zabezpečený prenos zóny, zmeňte nastavenie prenosu zóny na možnosť na povolenie prenosu zóny na konkrétne IP adresy vykonaním týchto akcií:
- V správcovi DNS kliknite pravým tlačidlom myši na názov zóny DNS a potom kliknite na položku Vlastnosti.
- Na karte Prenosy zóny kliknite na položku Povoliť prenos zóny.
- Vyberte možnosť Len na nasledujúce servery.
- Kliknite na položku Upraviť a potom v IP adresách zoznamu sekundárnych serverov zadajte IP adresy serverov, ktoré chcete zadať.
- Po zadaní všetkých požadovaných IP adries kliknite na tlačidlo OK.
Na dosiahnutie rovnakého výsledku môžete použiť aj nástroj príkazového riadka dnscmd.
- Otvorte príkazový riadok bez oprávnení.
- Do príkazového riadka zadajte nasledujúci príkaz a stlačte kláves Enter:
dnscmd < ServerName > /ZoneResetSecondaries < ZoneName > /SecureList [ < SecondaryIPAddress... > ]
Príklad:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Ďalšie informácie
Ďalšie informácie o tom, ako fungujú prenosy zón, nájdete v téme Informácie o zóne a prenose zón na stránke https://technet.microsoft.com/library/cc781340(WS.10).aspx .
Ďalšie informácie o konfigurácii prenosov zóny nájdete v téme Úprava nastavení prenosu Nastavenia na stránke https://technet.microsoft.com/library/cc771652.aspx .
Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.