DNS

1. DNSフォワーダを使用する

DNSフォワーダは、他のDNSサーバーに対してDNSクエリを実行するDNSサーバーです。 DNSフォワーダーを使用する主な目的は、DNS処理のプレッシャーを軽減し、DNSサーバーからフォワーダーにクエリ要求を転送し、DNSフォワーダーに潜在的に大きいDNSキャッシュを利用することです。

DNSフォワーダを使用するもう1つの利点は、DNSサーバーがインターネットDNSサーバーからのクエリ要求を転送できないことです。 DNSサーバーが内部ドメインのDNSリソースレコードを保持している場合、これは非常に重要です。内部DNSサーバーがDNSサーバーに直接再帰的に照会して連絡するのではなく、フォワーダーを使用して不正な要求を処理します。

2.バッファDNSサーバーのみを使用します。

バッファDNSサーバーのみが認証済みドメイン名用です。これは再帰クエリとして、またはフォワーダを使用して使用されます。バッファリングされたDNSサーバーだけがフィードバックを受信すると、結果をキャッシュに保存し、その結果をDNSクエリ要求を送信したシステムに送信します。時間が経つにつれて、バッファリングしているDNSサーバーだけが多くのDNSフィードバックを収集できるため、DNS応答を提供するのにかかる時間を大幅に短縮できます。

転送されたDNSサーバーのみをフォワーダーとして使用し、あなたの管理下にある組織のセキュリティを向上させることができます。内部DNSサーバーは、DNSサーバーを自身のフォワーダーとしてのみ扱うことができ、内部DNSサーバーの代わりにDNSサーバーをバッファリングして再帰クエリを完成させることしかできません。特にISPのDNSサーバーのセキュリティを確認できない場合は、ISPのDNSサーバーをフォワーダーとして使用する必要がないため、独自のバッファー付きDNSサーバーをフォワーダーとして使用するとセキュリティが向上します。

3. DNS広告主を使用する

DNS広告主は、ドメイン内のクエリの解決を担当するDNSサーバーです。たとえば、あなたのホストがdomain.comとcorp.comの公的に利用可能なリソースである場合、あなたのパブリックDNSサーバーはdomain.comとcorp.comのためにDNSゾーンファイルを設定するべきです。

DNSゾーンファイルをホストしているDNSサーバー以外のDNS広告主設定は、DNS広告主が承認したドメイン名にのみ回答するというクエリです。この種類のDNSサーバーは他のDNSサーバーに対して再帰的なクエリを実行しません。これにより、ユーザーがパブリックDNSサーバーを使用して他のドメイン名を解決することを防ぎます。キャッシュポイズニングなど、パブリックDNSリゾルバの実行に関連するリスクを減らすことによってセキュリティを強化しました。

4. DNSリゾルバの使用

DNSリゾルバは、再帰的なクエリを実行し、承認されたドメイン名に解決できるDNSサーバーです。たとえば、internalcorp.com DNSサーバーの内部ネットワークドメイン名を承認するDNSサーバーが内部ネットワークにあるとします。ネットワーク上のクライアントがこのDNSサーバーを使用してtechrepublic.comを解決すると、DNSサーバーは他のDNSサーバーに照会して回答を得ることで再帰を実行します。

DNSサーバーとDNSリゾルバーの違いは、DNSリゾルバーはインターネットのホスト名を解決するためだけにあるということです。 DNSリゾルバは、承認されていないDNSドメイン名を持つキャッシュ専用のDNSサーバーにすることができます。 DNSリゾルバを内部ユーザー専用にすることも、外部ユーザー専用にすることもできるので、制御できない方法以外にDNSサーバーをセットアップする必要がなくなり、セキュリティが向上します。もちろん、内部ユーザーと外部ユーザーの両方でDNSリゾルバーを使用することもできます。

5.キャッシュの汚染からDNSを保護する

DNSのキャッシュの汚染はますます一般的な問題となっています。ほとんどのDNSサーバーは、要求元ホストに返信する前にDNSクエリの結果をキャッシュに保存できます。 DNSキャッシュを使用すると、組織内のDNSクエリのパフォーマンスを大幅に向上させることができます。問題は、DNSサーバーのキャッシュが多くの偽のDNS情報によって「汚染されている」場合、ユーザーが本来アクセスしたいサイトではなく悪意のあるサイトに送信される可能性があることです。

大部分のDNSサーバーは設定によってキャッシュ汚染を防ぐことができます。 Windows Server 2003 DNSサーバーの既定の構成状態は、キャッシュの汚染を防ぎます。 Windows 2000 DNSサーバーを使用している場合は、それを設定し、DNSサーバーの[プロパティ]ダイアログを開き、[詳細設定]テーブルをクリックします。 「キャッシュ汚染を防ぐ」オプションを選択してDNSサーバーを再起動します。

6. DDNSに安全な接続のみを使用させる

多くのDNSサーバーは動的な更新を受け入れます。動的更新機能により、これらのDNSサーバーはDHCPを使用してホストのホスト名とIPアドレスを記録できます。 DDNSを使用すると、DNS管理者の管理コストを大幅に削減できます。それ以外の場合、管理者はこれらのホストのDNSリソースレコードを手動で設定する必要があります。

しかし、検出されないDDNSアップデートは深刻なセキュリティ問題を引き起こす可能性があります。悪意のあるユーザーは、ファイルサーバー、Webサーバー、またはデータベースサーバーによって動的に更新されるDNSホストレコードになるようにホストを設定することができますこれらのサーバーに接続したい場合、それらは他のマシンに転送されます。

DNSサーバーへの安全な接続を要求することで動的アップグレードを実行することで、悪意のあるDNSアップグレードのリスクを減らすことができます。これは簡単で、Active Directory統合ゾーンを使用するようにDNSサーバーを構成するだけでよく、安全な動的アップグレードが必要です。このようにして、すべてのドメインメンバーはDNS情報を安全かつ動的に更新できます。

7.無効なゾーン転送

プライマリDNSサーバーとセカンダリDNSサーバーの間でゾーン転送が行われます。プライマリDNSサーバーは、必要に応じて更新できる書き換え可能なDNSゾーンファイルを使用して特定のドメイン名を承認します。これらのゾーンファイルの読み取り専用コピーは、プライマリDNSサーバーからDNSサーバーから受信されます。 DNSサーバーは、内部またはインターネットのDNSクエリからの応答パフォーマンスを向上させるために使用されます。

ただし、ゾーン転送はDNSサーバーだけのものではありません。 DNSクエリー要求を行うことができる人はだれでも、ゾーン転送が自分のゾーンデータベースファイルをダンプできるようにするDNSサーバー構成の変更を引き起こす可能性があります。悪意のあるユーザーは、この情報を使用して組織内の命名計画を調べ、重要なサービスアーキテクチャを攻撃することができます。セキュリティ上の理由から、DNSサーバーを構成したり、ゾーン転送要求を無効にしたり、組織内の特定のサーバーへのゾーン転送のみを許可したりすることができます。

8.ファイアウォールを使用してDNSアクセスを制御する

ファイアウォールを使用して、DNSサーバーに接続できるユーザーを制御できます。内部ユーザーのクエリ要求にのみ応答するDNSサーバーの場合は、外部ホストがこれらのDNSサーバーに接続できないようにファイアウォールを構成する必要があります。キャッシュ専用フォワーダーとして機能するDNSサーバーの場合、ファイアウォール設定は、フォワーダーのみをキャッシュするDNSサーバーからのクエリ要求のみを許可するように設定する必要があります。ファイアウォールポリシー設定の重要な点は、内部ユーザーがDNSプロトコルを使用して外部のDNSサーバーに接続するのを防ぐことです。

9. DNSレジストリでアクセス制御を確立する

WindowsベースのDNSサーバーでは、DNSサーバー関連のレジストリでアクセス制御を設定する必要があります。アカウントはこれらのレジストリ設定を読み取りまたは変更できます。

HKLM \\ CurrentControlSet \\ Services \\ DNSキーは、管理者とシステムアカウントによるアクセスのみを許可し、これらのアカウントは完全に制御できる必要があります。

10. DNSファイルシステムエントリへのアクセス制御の設定

WindowsベースのDNSサーバーでは、アクセスが必要なアカウントだけにアクセスできるように、DNSサーバーのファイルシステムエントリにアクセス制御を設定する必要があります。これらのファイルを読んだり変更したりできます。

％system_directory％\\ DNSフォルダとサブフォルダはシステムアカウントへのアクセスのみを許可し、システムアカウントは完全な権限を持つ必要があります。
zh-CN"],null,[1],zh-TW"]]]