サーバー戦闘：企業はどのようにDNSサーバーを保護するのですか？

たぶんあなたは、Baiduが年の初めにハッキングされたことを忘れていなかったなら、そしてあなたはUnicomのDNS広告に悩まされています。企業にとって、企業秘密、企業のあらゆる種類のデータは企業の存続の基盤であり、企業サーバーのセキュリティは無視できません。 DNSソフトウェアはハッカーの攻撃の対象となることが多く、セキュリティ上の問題を引き起こす可能性があるため、ここではDNSサーバーを保護するための効果的な方法を紹介します。

1. DNSフォワーダの使用

DNSフォワーダは、他のDNSサーバーに対してDNSクエリを実行するDNSサーバーです。 DNSフォワーダを使用する主な目的は、DNS処理のプレッシャーを軽減し、DNSサーバーからフォワーダにクエリ要求を転送し、DNSフォワーダに潜在的に大きいDNSキャッシュを利用することです。

DNSフォワーダを使用するもう1つの利点は、DNSサーバーがインターネットDNSサーバーからのクエリ要求を転送できないことです。 DNSサーバーが内部ドメインのDNSリソースレコードを保持している場合、これは非常に重要です。内部DNSサーバーがDNSサーバーに直接再帰的に照会して連絡するのではなく、フォワーダーを使用して不正な要求を処理します。

2.バッファDNSサーバーのみを使用します。

バッファDNSサーバーのみが認証済みドメイン名用です。これは再帰クエリとして、またはフォワーダを使用して使用されます。バッファリングされたDNSサーバーのみがフィードバックを受信すると、結果をキャッシュに保存し、その結果をDNSクエリ要求を送信したシステムに送信します。時間が経つにつれて、バッファリングしているDNSサーバーだけが多くのDNSフィードバックを収集できるため、DNS応答を提供するのにかかる時間を大幅に短縮できます。

管理された管理下にある組織のセキュリティを向上させるために、転送されたDNSサーバーをフォワーダとして使用します。内部DNSサーバーは、自分のフォワーダーとしてDNSサーバーをバッファリングすることしかできず、内部DNSサーバーの代わりに再帰クエリを完了するためにDNSサーバーをバッファリングするだけです。特にISPのDNSサーバーのセキュリティを確認できない場合は、ISPのDNSサーバーをフォワーダーとして使用する必要がないため、独自のバッファー付きDNSサーバーをフォワーダーとして使用するとセキュリティが向上します。

3. DNS広告主を使用する（DNSadvertisers）

DNS広告主は、ドメイン内のクエリを解決するためのDNSサーバーです。たとえば、あなたのホストがdomain.comとcorp.comの公的に利用可能なリソースである場合、あなたのパブリックDNSサーバーはdomain.comとcorp.comのためにDNSゾーンファイルを設定するべきです。

DNSゾーンファイルをホストしているDNSサーバー以外のDNS広告主設定は、DNS広告主が承認したドメイン名にのみ回答するというクエリです。この種類のDNSサーバーは他のDNSサーバーに対して再帰的なクエリを実行しません。これにより、ユーザーがパブリックDNSサーバーを使用して他のドメイン名を解決することを防ぎます。キャッシュポイズニングなど、パブリックDNSリゾルバの実行に関連するリスクを減らすことによってセキュリティを強化しました。

4. DNSリゾルバの使用

DNSリゾルバは、再帰的なクエリを実行し、承認されたドメイン名に解決できるDNSサーバーです。たとえば、internalcorp.com DNSサーバーの内部ネットワークドメイン名を承認するDNSサーバーが内部ネットワークにあるとします。ネットワーク上のクライアントがこのDNSサーバーを使用してtechrepublic.comを解決すると、DNSサーバーは他のDNSサーバーに照会して回答を得ることで再帰を実行します。

DNSサーバーとDNSリゾルバーの違いは、DNSリゾルバーはインターネットのホスト名を解決するためだけにあるということです。 DNSリゾルバは、認証されていないDNSドメイン名を持つキャッシュ専用のDNSサーバーにすることができます。 DNSリゾルバを内部ユーザー専用にすることも、外部ユーザー専用にすることもできるので、制御できない方法以外にDNSサーバーを設定する必要がなくなり、セキュリティが向上します。もちろん、DNSリゾルバを内部ユーザと外部ユーザの両方に使用させることもできます。

5.キャッシュの汚染からDNSを保護する

DNSのキャッシュの汚染はますます一般的な問題となっています。ほとんどのDNSサーバーは、要求元ホストに返信する前にDNSクエリの結果をキャッシュに保存できます。 DNSキャッシュを使用すると、組織内のDNSクエリのパフォーマンスを大幅に向上させることができます。問題は、DNSサーバーのキャッシュが多くの偽のDNS情報によって「汚染されている」場合、ユーザーは本来アクセスしたいサイトではなく悪意のあるサイトに送信される可能性があることです。

ほとんどのDNSサーバーは設定によってキャッシュ汚染を防ぐことができます。 Windows Server 2003 DNSサーバーの既定の構成状態は、キャッシュ汚染を防ぐことができます。 Windows 2000 DNSサーバーを使用している場合は、それを設定し、DNSサーバーの[プロパティ]ダイアログを開き、[詳細設定]テーブルをクリックします。 「キャッシュ汚染を防ぐ」オプションを選択してDNSサーバーを再起動します。
6. DDNSに安全な接続のみを使用させる

多くのDNSサーバーは動的な更新を受け入れます。動的更新機能により、これらのDNSサーバーはDHCPを使用してホストのホスト名とIPアドレスを記録できます。 DDNSを使用すると、小規模なDNS管理者の管理コストを大幅に削減できます。それ以外の場合、管理者はこれらのホストのDNSリソースレコードを手動で設定する必要があります。

しかし、検出されないDDNSアップデートが更新されると、深刻なセキュリティ問題を引き起こす可能性があります。悪意のあるユーザーは、ファイルサーバー、Webサーバー、またはデータベースサーバーによって動的に更新されるDNSホストレコードになるようにホストを設定することができますこれらのサーバーに接続したい場合、それらは他のマシンに転送されます。

DNSサーバーへの安全な接続を要求することで動的アップグレードを実行することで、悪意のあるDNSアップグレードのリスクを減らすことができます。これは簡単です。DNSサーバーをActive Directory統合ゾーン（ActiveDirectory IntegratedZones）を使用するように構成するだけでよく、安全な動的アップグレードが必要です。このようにして、すべてのドメインメンバーはDNS情報を安全かつ動的に更新できます。

7.ゾーン転送を無効にする

ゾーン転送は、プライマリDNSサーバーとセカンダリDNSサーバーの間で行われます。プライマリDNSサーバーは、必要に応じて更新できる書き換え可能なDNSゾーンファイルを使用して特定のドメイン名を承認します。これらのゾーンファイルの読み取り専用コピーは、プライマリDNSサーバーからDNSサーバーから受信されます。 DNSサーバーは、内部またはインターネットのDNSクエリからの応答パフォーマンスを向上させるために使用されます。

ただし、ゾーン転送はDNSサーバーだけのものではありません。 DNSクエリ要求を行うことができる人はだれでも、ゾーン転送が自分のゾーンデータベースファイルをダンプすることを可能にするDNSサーバー構成の変更を引き起こす可能性があります。悪意のあるユーザーは、この情報を使用して組織内の命名計画を調べ、重要なサービスアーキテクチャを攻撃することができます。セキュリティ上の理由から、DNSサーバーを構成したり、ゾーン転送要求を無効にしたり、組織内の特定のサーバーに対してのみゾーン転送を許可したりすることができます。

8.ファイアウォールを使用してDNSアクセスを制御します。

ファイアウォールを使用して、DNSサーバーに接続できるユーザーを制御できます。内部ユーザーのクエリ要求にのみ応答するDNSサーバーの場合、外部ホストがこれらのDNSサーバーに接続できないようにファイアウォールを構成する必要があります。キャッシュ専用フォワーダーとして機能するDNSサーバーの場合、ファイアウォール設定は、フォワーダーのみをキャッシュするDNSサーバーからのクエリ要求のみを許可するように設定する必要があります。ファイアウォールポリシー設定の重要な点は、内部ユーザーがDNSプロトコルを使用して外部のDNSサーバーに接続できないようにすることです。

9. DNSレジストリでアクセス制御を確立する

WindowsベースのDNSサーバーでは、アクセスが必要なユーザーだけがアクセスできるように、DNSサーバー関連のレジストリでアクセス制御を設定する必要があります。アカウントはこれらのレジストリ設定を読み取りまたは変更できます。

HKLMCurrentControlSetServicesDNSキーは、管理者とシステムアカウントによるアクセスのみを許可する必要があります。

10. DNSファイルシステムエントリへのアクセス制御の設定

WindowsベースのDNSサーバーでは、アクセスが必要なアカウントだけにアクセスできるように、DNSサーバーのファイルシステムエントリにアクセス制御を設定する必要があります。これらのファイルを読んだり変更したりできます。

％system_directory％DNSフォルダとサブフォルダはシステムアカウントへのアクセスのみを許可し、システムアカウントはフルコントロールを持つ必要があります。
zh-CN"],null,[1],zh-TW"]]]