Чотири причини поновлення DNS сервера до версії Windows Server 2008 R2, Ссітемное адміністрування, Локальні мережі, статті

DNS є хребтом мережевих взаємодій. Без DNS ми були б змушені запам’ятовувати IP адреси всіх клієнтів і серверів в мережі. Це ще було здійсненно в 1985 році, але на порозі другого десятиліття 21 століття це не реально. І DNS стане ще важливіше в міру плавного переходу з IPv4 на IPv6. Хоча деякі талановиті адміністратори можуть запам’ятовувати IPv4 адреси десятків, а, можливо, навіть сотень серверів, це стане абсолютно неможливим для IPv6; оскільки IP адреси будуть мати 128-розрядні номера шістнадцятковій системи числення. IPv6 знову поверне DNS на перший план.


Оскільки DNS стане ще більш важливою, ви повинні бути впевнені в тому, що ваше рішення DNS серверів безпечно. Історично, існувало значне приховане довіру в установках DNS. Було імпліцитне довіру тому, що DNS клієнт може вірити DNS сервера, а також віра в те, що записи, які повертаються з DNS сервера клієнту DNS, були дійсні. Хоча таке “джентльменську угоду” працювало досить добре протягом тривалого часу, прийшов час, коли з’явилася необхідність в можливості гарантувати, що інформація, надана DNS сервером, є дійсною і що взаємодії між клієнтом і сервером DNS захищені.


Це змусило мене замислитися про Windows Server 2008 R2 DNS сервері. У ньому є ряд нових компонентів, які можна використовувати для підвищення рівня загальної безпеки вашої інфраструктури DNS. Сюди входить наступне:



У цій статті ми коротко розглянемо кожен з цих нових компонентів і те, як їх використовувати для створення більш надійної DNS інфраструктури у вашій мережі.


DNS Security Extensions (DNSSEC)


DNSSEC являє собою групу специфікацій з Internet Engineering Task Force (IETF), які забезпечують перевірку автентичності походження DNS даних, заперечення існування при перевірці автентичності і цілісності даних (не конфіденційності даних). Метою DNSSEC є захист від фальшивої DNS інформації (наприклад, отруєння DNS кешу) за допомогою використання цифрових підписів. DNSSEC по суті являє собою зібрання нових компонентів, доданих у взаємодію між клієнтом і сервером DNS, яке допоможе підвищити безпеку основних протоколів DNS. Основні компоненти DNSSEC визначені в стандартах:



DNSSEC представляє декілька нових термінів і технологій на стороні сервера і клієнта. Наприклад, DNSSEC додає нові записи DNS ресурсів:



Застосування Windows Server 2008 R2


Windows Server 2008 R2 і Windows 7 є першими операційними системами від Microsoft з підтримкою DNSSEC. Тепер ви можете підписувати і розміщувати DNSSEC підписані зони для підвищення рівня безпеки вашої інфраструктури DNS. Наступні компоненти, пов’язані з DNSSEC, представлені в Windows Server 2008 R2:



DNSSEC може додати авторизацію походження (підтвердження і перевірка походження DNS інформації, що подається клієнту DNS), цілісність даних (забезпечує підтвердження того, що дані не були змінені), і заперечення існування при перевірці достовірності DNS (підписаний відповідь, що підтверджує, що запис не існує).


Покращення Windows 7/Server 2008 R2 DNS клієнтів


До того ж до оновлень DNS сервера в Windows Server 2008 R2, були внесені удосконалення в Windows 7 DNS клієнт (які також включають службу DNS клієнта в Windows Server 2008 R2):



DNSSEC і NRPT


Якщо ви знайомі з DirectAccess, вам, можливо, цікавий той факт, що DNSSEC використовує таблицю політик дозволу імен (Name Resolution Policy Table – NRPT). Поведінка DNS клієнта, пов’язане з DNSSEC, визначається таблицею NRPT. Таблиця NRPT дозволяє вам створювати тип маршрутизації на основі політики для DNS запитів. Наприклад, ви можете налаштувати NRPT на відправку запитів для contoso.com на DNS сервер 1, а запити для всіх інших доменів будуть відправлятися на адресу DNS сервера, налаштований на мережевої карти DNS клієнта. Налаштування NRPT виконується в груповій політиці. Таблиця NRPT також використовується для включення DNSSEC для певних просторів імен, як показано на малюнку 1 нижче.



Рисунок 1


Розуміння принципу роботи DNSSEC


Ключовою функцією DNSSEC є те, що вони дозволяють вам підписувати DNS зону а це означає, що всі записи для цієї зони теж будуть підписані. DNS-клієнт може використовувати цифрові підписи, додані до записів ресурсів, для перевірки їх дійсності. Це часто зустрічається в інших областях, де розгорнуті служби, що покладаються на PKI. Клієнт DNS може переконуватися в тому, що відповідь не був змінений, з допомогою пари відкритого / закритого ключа. Для цього DNS клієнт повинен бути налаштований на довіру стороні, пописати зону.


Нова підтримка Windows Server 2008 R2 DNSSEC дозволяє вам підписувати зони на основі файлів (file-based) і Active Directory інтегровані зони за допомогою автономного інструменту підписання зон. Знаю, що було б зручніше використовувати графічний інтерфейс для цієї мети, але думаю, що у Microsoft не було часу, або вони вирішили, що мало хто буде використовувати цю функцію, і тому не стали розробляти зручний графічний інтерфейс для підписання зон. Процес підписання також виконується в автономному режимі. Після підписання зони, вона може міститися на інших DNS серверах за допомогою типових технологій переміщення зон.


При налаштуванні з якорем довіри (trust anchor) DNS сервер здатний перевіряти DNSSEC відповіді, одержувані від імені клієнта. Однак, щоб переконатися, що DNS відповідь вірний, необхідно знати як мінімум один ключ або DS запис, який буде вірна для будь-якого джерела крім DNS. Такі відправні точки називаються якорями довіри.


Ще однією зміною в Windows 7 і Windows Server 2008 R2 DNS клієнта є те, що він діє в якості перетворювача заглушки з підтримкою безпеки. Це означає, що DNS клієнт буде дозволяти DNS сервера виконувати завдання перевірки безпеки, але буде використовувати результати перевірки безпеки, виконані сервером DNS. Клієнти DNS використовують таблицю NRPT для визначення того, коли їм слід перевіряти результати затвердження безпеки. Після того, як клієнт переконається в тому, що відповідь дійсний, він поверне результати DNS запиту додатком, який виконав початковий DNS запит.


Використання IPsec з DNSSEC


В цілому, досить корисно використовувати IPsec для захисту взаємодій між усіма машинами, задіяними в керованій мережі. Причина полягає в тому, що зломщикові досить просто впровадити програму аналізу мережі у вашу мережу і перехоплювати і читати все незашифрованому вміст, що передається по мережі. Однак якщо ви використовуєте DNSSEC, вам потрібно бути в курсі таких аспектів при застосуванні політик IPsec:



Контроль делегування DNS


DNS делегування доступно вже довгий час в клієнтах Windows DNS. Ні, це не означає, що операційні системи не розвиваються. Делегування дозволяє вашим клієнтським комп’ютерам, які є членами субдоменів, отримувати доступ до ресурсів в батьківському домені без необхідності надання точного імені FQDN цих ресурсів.


Наприклад, якщо клієнт використовує основний DNS суфікс corp.contoso.com і делегування налаштований на другий рівень, додаток, що намагається запитати ім’я вузла server1, буде також намагатися перетворити:



Зверніть увагу, що коли делегування встановлено на другий рівень, процес делегування припиняється, коли є два ярлики для доменного імені (в даному випадку, corp.com).


Отже, якщо встановлений третій рівень делегування, процес делегування зупинився б на server1.corp.contoso.com, оскільки server1.contoso.com має всього два ярлики в імені домену (contoso.com).


Однак, делегування не включено в доменах Active Directory коли:



  1. список пошуку глобальних суфіксів призначений груповою політикою.
  2. на DNS-клієнта не відзначена опція “дописувати батьківські суфікси основного DNS-суфіксу” (Append parent suffixes of the primary DNS suffix) у закладці DNS в додаткових параметрах TCP / IP властивостей IPv4 або IPv6 Internet Protocol (TCP / IP) для мережевого підключення клієнтського комп’ютера, як показано на малюнку 2. Батьківські суфікси купуються в результаті делегування.


Рисунок 2


Попередні версії Windows використовували ефективне делегування другого рівня. Однак в Windows Server 2008 R2 новим є те, що тепер можна вказувати власний рівень делегування, що забезпечує додатковий контроль над кордонами організації в домені Active Directory, коли клієнт намагається вирішити імена в цьому домені. Ви можете встановлювати рівень делегування за допомогою групової політики, як показано на малюнку 3 нижче (Конфігурація компьютераПолитикиАдминистративные шаблониСетіDNS клієнт).



Рисунок 3


Блокування DNS кешу


Блокування кеша в Windows Server 2008 R2 дозволяє вам контролювати можливість перезапису інформації, що міститься в DNS кеші. Коли блокування DNS кешу включено, DNS сервер не дозволить перезаписувати записи в кеші протягом певного проміжку часу (значення TTL). Це допомагає вам захистити ваш DNS сервер від отруєння кеша. Ви також можете змінювати установки, що використовуються для блокування кешу.


Коли DNS сервер налаштований на отримання рекурсивних DNS запитів, він кешує результати запиту DNS, перш ніж повертати інформацію на машину, послала запит. Як і у всіх рішеннях кешування, метою тут є забезпечення можливості для DNS сервера надавати інформацію з кеша з послідовними запитами, щоб йому не довелося витрачати часу на повторення запитів. Сервер DNS зберігає інформацію в кеші протягом періоду часу, визначеного TTL значенням запису ресурсу. Однак інформація в кеші може перезаписуватися, якщо нова інформація про цей запис ресурсу приймається сервером DNS. Однією із ситуацій, де це може відбуватися, є ситуація, коли зломщик намагається виконати зараження вашого DNS кеша. Якщо операція зловмисника пройде успішно, отруєний кеш може повернути помилкову інформацію DNS клієнтам і направити клієнтів на сервери, що належать зловмиснику.


Блокування кешу налаштовується як проценти для TTL значення. Наприклад, якщо значення блокування кешу встановлено на 25, то DNS сервер не буде перезаписувати інформацію в кеші, поки не пройде 25% часу, визначеного TTL значенням запису ресурсу. Значенням за замовчуванням буде 100, а це означає, що повинно пройти весь час TTL, перш ніж запис в кеші може бути оновлена. Значення блокування кешу зберігається в розділі реєстру CacheLockingPercent. Якщо розділ реєстру відсутній, то DNS сервер буде використовувати стандартне значення блокування кешу, встановлене на 100. Віддається перевага методом налаштування значення блокування кешу є налагодження за допомогою командного утиліти dnscmd.


Приклад того, як налаштовувати значення блокування кешу, зображений на малюнку 4 нижче. Процентне значення може варіюватися в діапазоні від 0 до 100.



Рисунок 4


Пул сокетів Windows Server 2008 R2 DNS Socket Pool


Для пулу сокетів Windows Server 2008 R2 DNS ви можете дозволити серверу DNS використовувати перемішування портів джерел при виконанні DNS запитів. Навіщо це робити? Потім, що перемішування портів джерела забезпечує захист від різних атак отруєння кешу, як атаки, описані тут.


Початкове виправлення включало деякі стандартні параметри, але в Windows Server 2008 R2 ви можете змінювати параметри пулу сокетів.


Перемішування портів джерел захищає від атак отруєння кеша DNS. Завдяки перемішуванню портів джерел сервер DNS буде випадково вибирати порт джерела з пулу доступних сокетів, які він відкриває при запуску служби. Це не дозволяє віддаленим зловмисникам, що не пройшли перевірку автентичності, відправляти спеціально створені відповіді на DNS запити, щоб отруїти кеш DNS і пересилати трафік в місця, які контролюються зловмисником.


Попередні версії Windows DNS сервера використовували досить передбачуваний набір портів джерела при виданні запитів DNS. За допомогою нового пулу сокетів DNS сервер DNS буде використовувати випадковий номер порту, вибраний з пулу сокетів. Це значно ускладнює зловмисникові завдання визначення порту джерела DNS запиту. Для додаткового захисту від зловмисника, випадковий ID транзакції додається в цей поєднання, що робить отруєння кешу ще більш складним завданням.


Пул сокетів починається за замовчуванням з 2500 сокетів. Однак якщо ви хочете ще більше ускладнити життя зловмисникам, ви можете збільшувати це значення до 10000. Чим більше сокетів буде у вас в пулі, тим складніше буде визначити, який сокет буде використовуватися, а це сильно ускладнює завдання отруєння кеша. З іншого боку, ви можете налаштувати пул на нуль. У цьому випадку у вас буде тільки один сокет, використовуваний для DNS запитів, те, чого робити не варто. Ви навіть можете виключати певні порти з пулу.


Як і компонент кешу DNS, пул сокетів налаштовується за допомогою інструменту dnscmd. Нижче наведено приклад вибрати значення.



Рисунок 5


Висновок


У цій статті ми розглянули кілька нових компонентів, включених в Windows Server 2008 R2 сервер і Windows 7 DNS клієнт, які допоможуть підвищити рівень безпеки і продуктивності вашої DNS інфраструктури. Поєднання DNSSEC, удосконалень контролю над делегуванням DNS, поліпшень безпеки в DNS кеші і пулі сокетів DNS, є вагомою причиною для поновлення DNS серверів до версії Windows Server 2008 R2.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*