DNSサーバーセキュリティの展開7つの問題

DNS（ドメインネームシステム）は長い間確立された方法で、IPアドレスを持つコンピュータにドメイン名を割り当てることができるので、コンピュータのIPアドレスは207.46などになります。 .193.254コンピュータは、Microsoftサーバーwww.microsoft.comです。 DNSは適切に設計されており、ほとんどの場合、うまく機能します。しかし、いくつかの不満足な状況が常にあり、それは打撃を与え、そして管理者は頭痛を抱えます。それでは、どのようにあなたはそのせいに手がかりを見つけるのですか？あなたのDNSシステムの中で不満足なところは何ですか？

従うことができる規則性はありますか？答えはイエスです。DNSサーバーの七つの主な罪をあなたの参考にしてください。

1.古いバージョンのBINDを使います。

オープンソースのDNSサーバーソフトウェアであるBindは、世界で最も広く使用されているDNSサーバーソフトウェアです。ほとんどの古いバージョンのBINDには、深刻で有名な脆弱性があります。攻撃者はこれらの脆弱性を悪用してDNSドメインネームサーバーを破壊し、それらを使用して自分のホストに侵入することができます。したがって、必ず最新のBINDを使用し、それに間に合うようにパッチを適用してください。

2.重要なドメインネームサーバーをすべて同じサブネットに配置します。

この場合、スイッチやルーターなどのデバイス障害、またはネットワーク接続障害によって、インターネット上のユーザーがWebサイトにアクセスしたり電子メールを送信したりできなくなる可能性があります。

3.未承認のクエリアの再帰を許可します。

これが当てはまる場合：

（再帰はいいいえ; [はい] allow-recursion {address_match_list}; [すべてのホスト]）

は安全ではありません通常、ドメインネームサーバは再帰を無効にするようには設定されていませんが、外部のクエリーは再帰を禁止しています。再帰的なクエリを処理するクライアントは、ドメインネームサーバーをキャッシュ中毒およびサービス拒否攻撃にさらすことになります。

4.ライセンスのないセカンダリドメインネームサーバーがゾーン転送を実行できるようにします。

ゾーン転送とは、複数のDNSサーバー間でゾーンデータベースファイルをコピーするプロセスのことで、いずれかのクエリアにゾーン転送サービスが提供されていると、ドメインネームサーバーが攻撃者に公開され、サーバーがクラッシュします。

5. DNSフォワーダは使用されていません。

DNSフォワーダは、他のDNSサービスの代わりにDNSクエリを実行するサーバーです。 DNSサーバーや古いBINDドメインネームサーバーの中にはキャッシュポイズニングに対して十分に防御できないものもありますが、他のDNSサーバーソフトウェアにも悪意のある人が悪用する可能性のある脆弱性があります。インターネット上の他のドメインネームサーバーに直接問い合わせ、フォワーダを使用しないでください。

6. Start of Authority（SOA）の値を誤って設定してください。

Start of SOAタグエリアデータ、ゾーン全体に影響するパラメータを定義する多くの管理者は、ゾーンの値を低く設定しすぎると、更新クエリまたはゾーン転送が失敗したときにシステムが中断される可能性があります。リバースキャッシュ（ネガティブキャッシング）TTLをリセットすると、その値が大きくなりすぎます。--- http：//www.bianceng.cn

7.エリアデータ内の承認と不一致のNSレコード

プライマリネームサーバーを追加または削除したが、その地域の委任承認データ（いわゆる委任データ）を変更するのを忘れた管理者もいるため、分析ドメインが拡張されます。時間、および柔軟性を減らす。

もちろん、これらは単に一般的な管理者が誤りを犯したかもしれないが、それはあなたがDNSサーバーを構成し、基本的な基準となることができます。
のいくつかであるだろうzh-CN"],null,[1],zh-TW"]]]