DNS je opšti deo klijent-server komunikacije u Internet Protocol (IP) mrežama. DNS je distributivna baza podataka koja se koristi u IP mrežama za prevođenje ili razrešavanje Fully qualified domain names (FQDN) u IP adrese i IP adrese u FQDNs. Windows Server 2003 koristi DNS kao primarni metod za razrešavanje imena (Name Resolution).

 

Sigurnosne pretnje DNS serverima

Zaštita DNS servera je veoma važna u svakom okruženju koje koristi aktivni direktorijum. Kada je DNS server napadnut, jedan od mogućih ciljeva napada je kontrola DNS informacija koje se vraćaju kao odgovor na klijentske DNS upite. Na ovaj način, klijenti mogu biti pogrešno upućeni ka neautorizovanim kompjuterima.

Sledeća tabela opisuje sigurnsone pretnje za DNS servere i tehnike sprečavanja ovih napada:

Vodič za zaštitu Microsoft DNS Servera

Sigurnosna polisa polazne linije za DNS servere je slična sigurnosnoj polaznoj liniji za domenske kontrolere. Konfigurisanje DNS servera na domenskim kontrolerima nudi karakteristike kao što su AD-integrisane zone i sigurno dinamičko ažuriranje.
Potrebno je koristiti sleće savete da biste uspešno zaštitili DNS servere od sigurnosnih pretnji:

  • Koristiti AD-integrisan DNS: Microsoft preporučuje korišćenje AD-integrisani DNS u svim sigurnosnim okruženjima zbog toga što integrisane zone unutar aktivnog direktorijuma uprošćavaju proces zaštite DNS infrastrukture.
  • Kreiranje prilagođenog šablona za DNS servere koji nisu integrisani sa aktivnim direktorijumom: Ako se DNS server ne nalazi na domenskom kontroleru, moraćemo da pronađemo specifične elemente DNS u šablonu polazne linije domenskog kontrolera i zatim kreirati prilagođeni šablon. Najbitnija postavka u takvom prilagođenom šablonu je omogućavanje DNS serverskog servisa, iz razloga što je ova postavka onemogućena na serverima članovima domena.
  • Restrikcija DNS zonskog transfera: DNS server koji nije konfigurisan da ograniči ko može da zahteva transfer zonskog fajla je ranjiv jer može da izvrši tranfer kompletnog zonskog fajla svakome ko zatraži transfer.
  • Restrikcija eksternog pristupa DNS serverima: Trebalo bi da zaštitimo DNS servere od malicioznih korisnika.
  • Omogućiti Secure Cache against pollution postavku: Kada je ova postavka omogućena, DNS server zanemaruje DNS zapise koji potiču sa DNS servera koji nije autoritativan za DNS zapise.
  • Secure Dinamic Updates: Nesigurni dinamički DNS serveri mogu da prime maliciozne ili neautorizovana ažuriranja od napadača.
  • Promena veličine DNS log fajlova: Da bismo efektno nadgledali DNS servis, moramo da osiguramo dovoljnu količinu zapisanih i održavanih informacija za domenske kontrolere u celom okruženju. Povećanje maksimalne veličine DNS log fajla pomaže administratorima da održavaju adekvatnu količinu informacija da bi mogli da prate događaje u slučaju napada na DNS server. Potrebno je postaviti maksimalnu veličinu za DNS log najmanje 16MB.

 

AD-integrisane DNS Zone

AD-Integrisane zone  karakterišu dve osnovne prednosti: Multimaster zonska replikacija, kao i činjenica da se proces DDNS (dinamičkog DNS-a) registracije sada odlikuje kako izbalansiranim opterećenjem, tako i zadovoljavajućim stepenom bezbednosti. Ipak, ove zone imaju i svojih nedostataka: one se, donekle, udaljavaju od onoga što je propisano RFC dokumentima za DNS. Pored toga, sve kontrolere domena moramo da pretvorimo i u DNS servere.

Integrisana AD-DNS zona je DNS zona koja je smeštena u aktivnom direktorijumu. Kada konfigurišemo domenski kontroler, aktivni direktorijum zahteva instalaciju DNS servisa. Zone koje su kreirane na DNS serveru, koji je i domenski kontroler u aktivnom direktorijumu, mogu da budu AD-integrisane DNS zone.

AD-integrisane DNS zone imaju nekoliko prednosti u poređenju sa običnim zonama (primarnim, sekundarnim i stub). AD-integrisane zone mogu da koriste aktivni direktorijum:

  • Da smeste zonske konfiguracione podatke u aktivnom direktorijumu, umesto da zonski konfiguracioni podaci budu smešteni u zonskom fajlu.
  • Koristi Active Directory Replication umesto zonskog transfera.
  • Dozvoljava samo sigurno dinamičko ažuriranje (umesto sigurnog i nesigurnog ažuriranja na običnoj primarnoj DNS zoni).


AD-Integrisane DNS Zone

U zonama koje nisu AD-integrisane DNS zone, postoji jedna Master kopija DNS zone (Primarna) i može postojati mnogo dodatnih kopija DNS zone (sekundarne).

U AD-Integrisanim DNS zonama, zonski podaci su smešteni u aktivnom direktorijumu, tako da može postojati Multi Master model. Svaki domenski kontroler upravlja promenama u DNS zoni.

Multi-Master znači da, ako domenski kontroler sadrži AD-integrisanu zonu, tada bilo koji domenski kontroler koji sadrži informacije o DNS zoni može da se ponaša kao primarni DNS server i može da pravi promene u zoni.


Kako AD-Integrisane zone koriste Secure Dynamic Updates

Secure Dynamic Update je proces u kojem klijent šalje zahtev za dinamičkim ažuriranjem (dynamic update) ka DNS serveru. Server pokušava da ažurira (update) njegov zapis u DNS zoni samo ako je klijent dokazao svoj identitet i poseduje validne podatke za logovanje (user name, password) da bi izvršio ažuriranje. Secure Dynamic Updates je omogućen samo u AD-integrisanim zonama.

Metoda koji je primarna na domenskim kontrolerima na kojima su konfigurisane DNS zone je dozvoljavanje samo Secure Dynamic Updates.

Druga metoda je konfiguracija zone koja nije smeštena na AD-integrisanom DNS serveru kako se bi omogućilo i sigurno i nesigurno dinamičko ažuriranje.

 

Dinamičko ažuriranje (Dinamic Updates)

Metoda koja je primarna na domenskim kontrolerima, na kojima su konfigurisane DNS zone, je dozvoljavanje samo Secure Dynamic Updates.

Druga metoda je konfiguracija zone koja nije smeštena na AD-Integrisanom DNS serveru kako bi se omogućilo i sigurno i nesigurno dinamičko ažuriranje.


 
Svrha Dinamičkog ažuriranja

DNS na Windows Server 2003 podržava Secure Dynamic Update karakteristiku. Sigurno dinamičko ažuriranje nudi nekoliko prednosti, a to su:

  • Zaštita zona i zapisa u zonskim fajlovima (Resouce Records) od modifikovanja od strane korisnika koji nisu autorizovani.
  • Mogućnost određivanja tačno koje grupe ili korisnici mogu da modifikuju zone i zapise u zonskim fajlovima.


Omogućavanjem dinamičkog ažuriranja na DNS zoni administrator više neće imati potrebu da ručno kreira i održava sve zapise u DNS zoni. Ipak, administrator ne može da kontroliše koji će DNS klijenti moći da koriste dinamičko ažuriranje. Ako koristimo Stand-Alone DNS server koji nije integrisan u aktivnom direktorijumu, tada nećemo moći da kontrolišemo ko može da dinamički ažurira svoje zapise na DNS serveru. Na primer, ako eksterni konsultant donese laptop u kompaniju koji nije član Domena aktivnog direktorijuma, i ako se laptop dinamički ažurira u DNS-u, tada ćemo možda imati problem sa sigurnošću na mreži.

Ipak, ako DNS server hostuje DNS zone koje su AD-integrisane DNS zone, onda ćemo moći da konfigurišemo DNS zonu kako bi dozvoljavala samo sigurno dinamićko ažuriranje (Secure Dynamic Update). Ovo znači da, ako se eksterni konsultant pojavi sa istim laptopom, koji nije član domena, pokušaji da se dinamički ažurira u DNS-u će biti odbačeni. Korišćenjem domenske sigurnosti, možemo da kontrolišemo dinamičko ažuriranje tako što ćemo dozvoliti dinamičko ažuriranje samo kompjuterima (klijentima) koji su članovi domena i koji su prošli proces autentifikacije u aktivnom direktorijumu.


Nesigurni naspram sigurnog dinamičkog ažuriranja

Ako je DNS zona AD-integrisana DNS zona moći ćemo da je konfigurišemo da dozvoljava samo Secure Only dinamičko ažuriranje. Zona koja je konfigurisana kao Secure Only, autentifikuje kompjuter koji pokušava da izvrši ažuriranje, i dozvoljava ažuriranje samo ako dozvole na zapisu dozvoljavaju da se ažuriranje izvrši. Zone koje se hostuju u aktivnom direktorijumu, sa dodatkom onih koji nisu u AD, mogu da se konfigurišu da omogućavaju nesigurno dinamičko ažuriranje, koje će omogućiti DNS registracije i modifikacije bez prethodnog proveravanja identiteta klijenta.

 

Sledeća procedura predstavlja sekvencu događaja prilikom procesa sigurnog dinamičkog ažuriranja (Secure Dynamic Update):

  1. Klijent pita lokalni Name Server (NS) da otkrije koji je server autoritativan za ime koje klijent pokušava da ažurira. Lokalno Name Server odgovara sa referencama koje se odnose na autoritativni server.
  2. Klijent postavlja upit i šalje ga ka autoritativnom serveru da verifikuje da li je DNS server autoritativan za ime koje klijent pokušava da ažurira. Server dalje potvrđuje upit.
  3. Klijent pokušava da odradi nesigurno dinamičko ažuriranje. Server odbija nesigurno ažuriranje. U slučaju da je server konfigurisan da prihvata nesigurno dinamičko ažuriranje, server će potvrditi upit i odradiće se dinamičko ažuriranje zapisa u DNS zoni.
  4. Klijent, nakon što je odbijen njegov upit nesigurnog dinamičkog ažuriranja, pokušava da pokrene sigurno dinamičko ažuriranje. Ako klijent ima validne podatke za pristupanje (user name, password), tada će autoritativni DNS server prihvatiti ažuriranje i odgovoriće na klijentski upit.


Ako DHCP server prvi izvršava sigurno dinamičko ažuriranje na DNS zapisu, tada DHCP server postaje vlasnik zapisa. Ovo može da izazove probleme pod nekoliko različitih okolnosti. Na primer, pretpostavimo da je DHCP server (DHCP1) kreirao zapis za ime server1.linkgroup.com i nakon toga prestao sa radom, a da bekap DHCP server (DHCP2) pokušava da ažurira ime. DHCP2 neće biti u mogućnosti da ažurira ime, zato što DHCP2 nije vlasnik tog imena. Iz tog razloga, ako je sigurno dinamičko ažuriranje omogućeno, svi DHCP serveri moraju da se stave u specijalnu sigurnosnu grupu DNSUpdateProxy. Objekti koje su kreirali članovi DNSUpdateProxy grupe nemaju sigurnost. Dakle, svaki autentifikovani korisnik može preuzeti vlasništvo nad objektom. Za više informacija o DNSUpdateProxy posetite informacije u Help-u.

Administrator može da konfiguriše obe, i AD-integrisane DNS zone i obične primarne, sekundarne i stub zone da dozvoljavaju sigurno dinamičko ažuriranje. Administrator takođe može da konfiguriše sigurnost na AD-integrisanim zonama.


Konfiguracija AD-Integrisanih DNS zona da dozvoljavaju sigurno dinamičko ažuriranje:

  1. Otvorimo DNS konzolu.
  2. U konzolinom drvetu, desni klik na zonu i zatim kliknemo na Properties.
  3. Na General kartici, verifikujemo da je Tip zone AD-Integrated.
  4. U Dynamic Updates padajućoj listi, selektujemo Secure Only.
  5. Kliknemo na OK da zatvorimo DNS zone Properties dijalog boks i nakon toga zatvorimo DNS konzolu.

 


Osiguravanje DNS replikacije zona

Zone imaju veoma važnu ulogu u DNS-u i iz tog razloga one bi trebalo da budu dostupne na više od jednom DNS serveru na mreži kako bi mogli da pruže adekvatnu dostupnost i toleranciju na greške prilikom razrešavanja upita. Ipak, informacije u DNS zonama su sklone napadima malicioznih korisnika. Napadač može da iskoristi DNS zonsku informaciju da bi počeo da mapira našu infrastrukturu ili da manipuliše podacima kako bi preusmerio korisnike ka drugim serverima. Zbog toga je veoma važno da konfigurišemo naš DNS server na takav način da replikacija zona bude dozvoljena, ali da bude maksimalno sigurna.

Replikacija zona: Replikacija zona može da bude konfigurisana kao zonski transfer ili kao deo replikacije aktivnog direktorijuma. Možemo da osiguramo DNS replikaciju zona implementacijom sledećih metoda:

  • Koristiti AD replikaciju: Replikacije zona kao deo aktivnog direktorijuma osigurava da zonski saobraćaj bude šifrovan. Domenski kontroleri koji izvode replikaciju su međusobno autentifikovani.
  • Šifrovati zonsku replikaciju koja se šalje preko javne mreže: Potrebno je šifrovati sve replikacije koje se šalju preko javne mreže koristeći IPSec ili VPN tunel. Takođe, potrebno je koristiti najjači nivo šifrovanja ili VPN tunel autentifikacije koji podržava naš server.
  • Restrikovati transfer zona na samo autorizovane servere: Ako imamo sekundarne servere i repliciramo zonske podatke koristeći transfer zona, potrebno je konfigurisati naše DNS servere i naznačiti sekundarne servere koji će biti autorizovani da primaju transfere zona. Ovo će sprečiti napadača da koristi transfer zona da preuzme zonske podatke. Ako koristimo samo AD-integrisane zone, potrebno je konfigurisati servere da ne dozvoljavaju transfere zona.

 

Vodič za restrikciju eksternog pristupa DNS serverima

DNS serveri koji su javno izloženi moraju imati izvarendne sigurnosne mere da bi se osigurala njihova dostupnost i stabilnost u nepoverljivom okruženju.

Potrebno je koristiti sledeći vodič prilikom restriktovanja eksternog pristupa DNS serverima:

  • Koristiti privani interni adresni prostor (Namespace): Da bi se sve interne mrežne informacije zaštitile od korisnika izvan sistema naše firme, potrebno je koristiti odvojene DNS servere za interno i eksterno razrešavanje imena. Interni DNS serveri naše firme bi trebalo da se nalaze iza Firewall-a u mreži. Eksternim-internet prisustvom bi trebalo da upravlja DNS server koji se nalazi u perimeter mreži.
  • Potrebno je konfigurisati naš eksterni ruter i firewall da dozvoljava DNS saobraćaj samo između naših internih i eksternih DNS servera.
  • Potrebno je konfigurisati da interni DNS adresni prostor (Namespace) u našoj organizaciji bude poddomen u eksternom DNS adresnom prostoru.
  • Potrebno je koristiti paket za filtriranje da bi restriktovali saobraćaj na našem DNS serveru.

 

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Planiranje sigurne polazne linije za DNS server 1
  • Planiranje sigurne polazne linije za DNS server 2
  • Planiranje sigurne polazne linije za DNS server 3
  • Planiranje sigurne polazne linije za DNS server 4