DNSソフトウェアは、セキュリティ問題を引き起こす可能性があるハッカーの攻撃的な攻撃の標的です。この記事では、DNSサーバーを保護するための最も効果的な10の方法を紹介します。
1. DNSフォワーダの使用
DNSフォワーダは、他のDNSサーバーに対してDNSクエリを実行するDNSサーバーです。 DNSフォワーダーを使用する主な目的は、DNS処理のプレッシャーを軽減し、DNSサーバーからフォワーダーにクエリ要求を転送し、DNSフォワーダーに潜在的に大きいDNSキャッシュを利用することです。
DNSフォワーダを使用するもう1つの利点は、DNSサーバーがインターネットDNSサーバーからのクエリ要求を転送できないことです。 DNSサーバーが内部ドメインのDNSリソースレコードを保持している場合、これは非常に重要です。内部DNSサーバーがDNSサーバーに直接再帰的に照会して連絡するのではなく、フォワーダーを使用して不正な要求を処理します。
2.バッファDNSサーバーのみを使用します。
バッファDNSサーバーのみが認証済みドメイン名用です。これは再帰クエリとして、またはフォワーダを使用して使用されます。バッファリングされたDNSサーバーだけがフィードバックを受信すると、結果をキャッシュに保存し、その結果をDNSクエリ要求を送信したシステムに送信します。時間が経つにつれて、バッファリングしているDNSサーバーだけが多くのDNSフィードバックを収集できるため、DNS応答を提供するのにかかる時間を大幅に短縮できます。
管理された管理下にある組織のセキュリティを向上させるために、転送されたDNSサーバーをフォワーダとして使用します。内部DNSサーバーは自身のフォワーダーとしてDNSサーバーをバッファリングすることしかできず、内部DNSサーバーの代わりに再帰クエリを完了するためにDNSサーバーをバッファリングするだけです。特にISPのDNSサーバーのセキュリティを確認できない場合は、ISPのDNSサーバーをフォワーダーとして使用する必要がないため、独自のバッファー付きDNSサーバーをフォワーダーとして使用するとセキュリティが向上します。
3. DNS広告主を使用する(DNSadvertisers)
DNS広告主は、ドメイン内のクエリを解決するためのDNSサーバーです。たとえば、あなたのホストがdomain.comとcorp.comの公的に利用可能なリソースである場合、あなたのパブリックDNSサーバーはdomain.comとcorp.comのためにDNSゾーンファイルを設定するべきです。
DNSゾーンファイルをホストしているDNSサーバー以外のDNS広告主設定は、DNS広告主が承認したドメイン名にのみ回答するというクエリです。この種類のDNSサーバーは他のDNSサーバーに対して再帰的なクエリを実行しません。これにより、ユーザーがパブリックDNSサーバーを使用して他のドメイン名を解決することを防ぎます。キャッシュポイズニングなど、パブリックDNSリゾルバの実行に関連するリスクを減らすことによってセキュリティを強化しました。
4. DNSリゾルバの使用
DNSリゾルバは、再帰的なクエリを実行し、承認されたドメイン名に解決できるDNSサーバーです。たとえば、internalcorp.com DNSサーバーの内部ネットワークドメイン名を承認するDNSサーバーが内部ネットワークにあるとします。ネットワーク上のクライアントがこのDNSサーバーを使用してtechrepublic.comを解決すると、DNSサーバーは他のDNSサーバーに照会して回答を得ることで再帰を実行します。
DNSサーバーとDNSリゾルバーの違いは、DNSリゾルバーはインターネットのホスト名を解決するためだけにあるということです。 DNSリゾルバは、承認されていないDNSドメイン名を持つキャッシュ専用のDNSサーバーにすることができます。 DNSリゾルバを内部ユーザー専用にすることも、外部ユーザー専用にすることもできるので、制御できない方法以外にDNSサーバーをセットアップする必要がなくなり、セキュリティが向上します。もちろん、内部ユーザーと外部ユーザーの両方でDNSリゾルバーを使用することもできます。
5.キャッシュの汚染からDNSを保護する
DNSのキャッシュの汚染はますます一般的な問題となっています。ほとんどのDNSサーバーは、要求元ホストに返信する前にDNSクエリの結果をキャッシュに保存できます。 DNSキャッシュを使用すると、組織内のDNSクエリのパフォーマンスを大幅に向上させることができます。問題は、DNSサーバーのキャッシュが多くの偽のDNS情報によって「汚染されている」場合、ユーザーが本来アクセスしたいサイトではなく悪意のあるサイトに送信される可能性があることです。
ほとんどのDNSサーバーは設定によってキャッシュ汚染を防ぐことができます。 Windows Server 2003 DNSサーバーの既定の構成状態は、キャッシュ汚染を防ぐことができます。 Windows 2000 DNSサーバーを使用している場合は、それを設定し、DNSサーバーの[プロパティ]ダイアログを開き、[詳細設定]テーブルをクリックします。 「キャッシュ汚染を防ぐ」オプションを選択してDNSサーバーを再起動します。
6. DDNSに安全な接続のみを使用させる
多くのDNSサーバーは動的な更新を受け入れます。動的更新機能により、これらのDNSサーバーはDHCPを使用してホストのホスト名とIPアドレスを記録できます。 DDNSを使用すると、小規模なDNS管理者の管理コストを大幅に削減できます。それ以外の場合、管理者はこれらのホストのDNSリソースレコードを手動で設定する必要があります。
しかし、検出されないDDNSアップデートが更新されると、深刻なセキュリティ問題を引き起こす可能性があります。悪意のあるユーザーは、ファイルサーバー、Webサーバー、またはデータベースサーバーによって動的に更新されるDNSホストレコードになるようにホストを設定することができますこれらのサーバーに接続したい場合、それらは他のマシンに転送されます。
DNSサーバーへの安全な接続を要求することで動的アップグレードを実行することで、悪意のあるDNSアップグレードのリスクを減らすことができます。これは簡単で、Active Directory統合ゾーン(ActiveDirectory IntegratedZones)を使用するようにDNSサーバーを構成するだけでよく、安全な動的アップグレードが必要です。このようにして、すべてのドメインメンバーはDNS情報を安全かつ動的に更新できます。
7.ゾーン転送を無効にする
ゾーン転送は、プライマリDNSサーバーとセカンダリDNSサーバーの間で行われます。プライマリDNSサーバーは、必要に応じて更新できる書き換え可能なDNSゾーンファイルを使用して特定のドメイン名を承認します。これらのゾーンファイルの読み取り専用コピーは、プライマリDNSサーバーからDNSサーバーから受信されます。 DNSサーバーは、内部またはインターネットのDNSクエリからの応答パフォーマンスを向上させるために使用されます。
ただし、ゾーン転送はDNSサーバーだけのものではありません。 DNSクエリ要求を行うことができる人はだれでも、ゾーン転送が自分のゾーンデータベースファイルをダンプすることを可能にするDNSサーバー構成の変更を引き起こす可能性があります。悪意のあるユーザーは、この情報を使用して組織内の命名計画を調べ、重要なサービスアーキテクチャを攻撃することができます。 DNSサーバーを構成したり、ゾーン転送要求を無効にしたり、組織内の特定のサーバーに対してのみゾーン転送を許可したりできます。
8.ファイアウォールを使用してDNSアクセスを制御します。
ファイアウォールを使用して、DNSサーバーに接続できるユーザーを制御できます。内部ユーザーのクエリ要求にのみ応答するDNSサーバーの場合は、外部ホストがこれらのDNSサーバーに接続できないようにファイアウォールを構成する必要があります。キャッシュ専用フォワーダーとして機能するDNSサーバーの場合、ファイアウォール設定は、フォワーダーのみをキャッシュするDNSサーバーからのクエリ要求のみを許可するように設定する必要があります。ファイアウォールポリシー設定の重要な点は、内部ユーザーがDNSプロトコルを使用して外部のDNSサーバーに接続するのを防ぐことです。
9. DNSレジストリでアクセス制御を確立する
WindowsベースのDNSサーバーでは、アクセスが必要なユーザーだけがアクセスできるように、DNSサーバー関連のレジストリでアクセス制御を設定する必要があります。アカウントはこれらのレジストリ設定を読み取りまたは変更できます。
HKLMCurrentControlSetServicesDNSキーでは、管理者とシステムアカウントによるアクセスのみを許可する必要があります。これらのアカウントは、フルコントロールの権限を持つ必要があります。
10. DNSファイルシステムエントリへのアクセス制御の設定
WindowsベースのDNSサーバーでは、アクセスが必要なアカウントだけにアクセスできるように、DNSサーバーのファイルシステムエントリにアクセス制御を設定する必要があります。これらのファイルを読んだり変更したりできます。
%system_directory%DNSフォルダとサブフォルダはシステムアカウントへのアクセスのみを許可し、システムアカウントは完全な権限を持つ必要があります。
サーバーDIYは、その高いコストパフォーマンス、低エネルギー消費、および柔軟な構成で人気があります。センター、ゲーム愛好家、グラフィックデザインスタジオが運営しています。実際には、DIYサーバーはデー
人の友人は、匿名ユーザーが直接FTPサーバーにアクセスし、ユーザー名とパスワードを入力する必要がないことを知っています。 Serv-Uバージョン7.0以降では、セキュリティ上の理由から、匿名ユーザーは
通常、「http 500内部サーバーエラー」は「サーバーアプリケーションエラー」です。サーバーアプリケーションエラー要求の処理中にアプリケーションのロード中にサーバーでエラーが発生しました。詳細につい
インターネットデータセンター(IDC)は、インターネットコンテンツプロバイダー(ISP)、企業、メディアの選び方そして、さまざまな種類のWebサイトが、大規模で高品質で安全で信頼性の高いプロフェッショ
なぜWin7がWindowsの機能の空白部分を開閉するのか教えてください
WinXPのシステムIEのアドレスバーが解決する方法が欠けていますか?
Windows 10システムのノートブックを取り外したときに黒い画面を修正する方法?
Windows 2008のリソースを実行する方法を開くことができません?ターゲット上のリソースのマウスクリックを共有
Win10のプレビューバージョン10061のバグどんなWin10のプレビューバージョン10061bugの概要
Windowsの組み込み8プレビュー版は、ダウンロードのために利用されている
WINDOWS SERVER 2008はデスクトップテーマを開く