Windows system >> Conocimiento de Windows >  >> Tutorial de software de computadora >> Tecnología de servidor >> Sobre el servidor

Diez maneras de proteger los servidores DNS

  
                  El software DNS es el objetivo del entusiasmo de los piratas informáticos por los ataques, lo que puede llevar a problemas de seguridad. Estas son algunas de las formas más efectivas de proteger su servidor DNS. 1. Usar reenviadores de DNS
Los reenviadores de DNS son servidores de DNS que realizan consultas de DNS para otros servidores de DNS. El propósito principal de usar los reenviadores de DNS es aliviar la presión del procesamiento de DNS, transferir las solicitudes de consulta del servidor DNS a los reenviadores y beneficiarse de cachés de DNS potencialmente más grandes para los reenviadores de DNS.
Otra ventaja de utilizar un reenviador de DNS es que evita que el servidor DNS reenvíe las solicitudes de consulta de los servidores de Internet DNS. Esto es muy importante si su servidor DNS mantiene sus registros de recursos de DNS internos del dominio. En lugar de tener el servidor DNS interno de forma recursiva consultar y contactar directamente con el servidor DNS, déjelo usar el reenviador para manejar las solicitudes no autorizadas.
2. Utilice solo el servidor DNS de búfer. Sólo el servidor DNS de búfer es para el nombre de dominio autorizado. Se utiliza como una consulta recursiva o mediante un reenviador. Cuando solo el servidor DNS con búfer recibe una respuesta, guarda el resultado en el caché y envía el resultado al sistema que realizó la solicitud de consulta de DNS. Con el tiempo, solo los servidores DNS de búfer pueden recopilar una gran cantidad de comentarios de DNS, lo que puede reducir en gran medida el tiempo que toma proporcionar respuestas de DNS.
El uso de un servidor DNS en búfer como reenviador puede mejorar la seguridad de su organización bajo su control de gestión. El servidor DNS interno puede tratar al servidor DNS solo como su propio reenviador, y solo amortiguar el servidor DNS para completar la consulta recursiva en lugar de su servidor DNS interno. El uso de su propio servidor DNS en búfer como reenviador puede mejorar la seguridad porque no necesita depender del servidor DNS de su ISP como reenviador, especialmente si no puede confirmar la seguridad del servidor DNS del ISP.
3. Usar anunciantes de DNS

El anunciante de DNS es un servidor DNS responsable de resolver consultas en el dominio. Por ejemplo, si su host es un recurso disponible públicamente para domain.com y corp.com, su servidor DNS público debe configurar los archivos de zona DNS para domain.com y corp.com. Las configuraciones de anunciantes de DNS distintas al servidor DNS que alberga el archivo de zona DNS son consultas que el anunciante de DNS solo responde al nombre de dominio que autoriza. Este tipo de servidor DNS no realiza consultas recursivas contra otros servidores DNS. Esto evita que los usuarios utilicen su servidor DNS público para resolver otros nombres de dominio. Mayor seguridad al reducir los riesgos asociados con la ejecución de un sistema de resolución de DNS público, incluido el envenenamiento de caché.
4. Uso de la resolución DNS. La resolución DNS es un servidor DNS que puede realizar consultas recursivas, que pueden resolverse a un nombre de dominio autorizado. Por ejemplo, puede tener un servidor DNS en su red interna que autoriza el nombre de dominio de red interna del servidor DNS internocorp.com. Cuando un cliente en la red usa este servidor DNS para resolver techrepublic.com, el servidor DNS realiza una recursión consultando a otros servidores DNS para obtener una respuesta.
La diferencia entre un servidor DNS y un sistema de resolución de DNS es que el sistema de resolución de DNS es solo para resolver nombres de host de Internet. El servidor de resolución de DNS puede ser un servidor DNS solo de caché con un nombre de dominio DNS no autorizado. Puede hacer que la resolución de DNS sea solo para usuarios internos, y también puede hacer que solo sirva a usuarios externos, por lo que no tiene que configurar un servidor DNS fuera de la forma en que no puede controlarlo, lo que mejora la seguridad. Por supuesto, también puede tener resolutores DNS utilizados por usuarios internos y externos.
5. Proteger el DNS de la contaminación de la memoria caché. La contaminación de la memoria caché del DNS se ha convertido en un problema cada vez más común. La mayoría de los servidores DNS pueden guardar los resultados de las consultas DNS en la memoria caché antes de responder al host que realiza la solicitud. El almacenamiento en caché de DNS puede mejorar considerablemente el rendimiento de las consultas de DNS dentro de su organización. El problema es que si la memoria caché de su servidor DNS está "contaminada" por una gran cantidad de información falsa de DNS, los usuarios pueden ser enviados a sitios maliciosos en lugar de a los sitios a los que originalmente querían acceder.
La mayoría de los servidores DNS son capaces de prevenir la contaminación de la caché por configuración. El estado de configuración predeterminado del servidor DNS de Windows Server 2003 evita la contaminación de la memoria caché. Si está utilizando un servidor DNS de Windows 2000, puede configurarlo, abrir el cuadro de diálogo Propiedades del servidor DNS y hacer clic en la tabla "Avanzado". Seleccione la opción "Evitar la contaminación de la memoria caché" y reinicie el servidor DNS.

6. Hacer que DDNS use solo conexiones seguras. Muchos servidores DNS aceptan actualizaciones dinámicas. La función de actualización dinámica permite a estos servidores DNS registrar el nombre de host y la dirección IP de un host mediante DHCP. DDNS puede reducir en gran medida los gastos administrativos de los administradores de DNS; de lo contrario, los administradores deben configurar manualmente los registros de recursos de DNS de estos hosts.
Sin embargo, si las actualizaciones de DDNS no detectadas, puede haber serios problemas de seguridad. Un usuario malintencionado puede configurar el host para que se convierta en un registro de host DNS que se actualiza dinámicamente por un servidor de archivos, un servidor web o un servidor de bases de datos. Si alguien quiere conectarse a estos servidores, se transferirán a otras máquinas.
Puede reducir el riesgo de actualizaciones de DNS maliciosas realizando una actualización dinámica al requerir una conexión segura al servidor de DNS. Esto es fácil de hacer, solo necesita configurar su servidor DNS para usar las Zonas Integradas de Active Directory y requiere una actualización dinámica segura. De esta manera, todos los miembros del dominio pueden actualizar su información de DNS de forma segura y dinámica.
7. Desactivar transferencia de zona
La transferencia de zona se realiza entre el servidor DNS primario y el servidor DNS secundario. El servidor DNS primario autoriza un nombre de dominio específico con un archivo de zona DNS regrabable que se puede actualizar según sea necesario. Se recibe una copia de solo lectura de estos archivos de zona desde el servidor DNS desde el servidor DNS primario. El servidor DNS se utiliza para mejorar el rendimiento de respuesta de las consultas internas o de DNS de Internet.
Sin embargo, las transferencias de zona no son solo para servidores DNS. Cualquier persona que pueda realizar una solicitud de consulta de DNS puede provocar un cambio en la configuración del servidor DNS que permita a las transferencias de zona volcar sus propios archivos de base de datos de zona. Los usuarios malintencionados pueden usar esta información para explorar planes de nombres dentro de su organización y atacar arquitecturas de servicios críticos. Puede configurar su servidor DNS, deshabilitar las solicitudes de transferencia de zona o permitir solo transferencias de zona a servidores específicos dentro de su organización por precauciones de seguridad.
8. Utilice un servidor de seguridad para controlar el acceso a DNS. Se puede usar un servidor de seguridad para controlar quién puede conectarse a su servidor DNS. Para los servidores DNS que solo responden a las solicitudes internas de consulta del usuario, el firewall debe configurarse para evitar que los hosts externos se conecten a estos servidores DNS. Para los servidores DNS que actúan como reenviadores de solo caché, la configuración del firewall debe configurarse para permitir solo aquellas solicitudes de consulta de los servidores DNS que solo almacenan en caché. Un punto importante en la configuración de la política de firewall es evitar que los usuarios internos se conecten a servidores DNS externos mediante el protocolo DNS.
9. Establezca el control de acceso en el registro DNS. En un servidor DNS basado en Windows, debe configurar el control de acceso en el registro relacionado con el servidor DNS para que solo las cuentas que necesitan acceso puedan leer o modificar. Estas configuraciones de registro.
La clave HKLM \\ CurrentControlSet \\ Services \\ DNS solo debe permitir el acceso de los administradores y las cuentas del sistema, y ​​estas cuentas deben tener control total.
10. Configuración del control de acceso en el Portal del sistema de archivos DNS
En un servidor DNS basado en Windows, debe configurar el control de acceso en la entrada del sistema de archivos del servidor DNS para que solo la cuenta que necesita acceso pueda leerlos o modificarlos. Archivo
La carpeta y las subcarpetas% system_directory% \\ DNS solo deben permitir el acceso a la cuenta del sistema y la cuenta del sistema debe tener control total. Hacer que DDNS use solo conexiones seguras

Sobre el servidor
Conocimiento de Windows
¿Cómo configurar Wake on LAN para el servidor T100 G10?

1. Primero configure el BIOS: Encendido - Encendido automático - Wake On LAN está configurado como H
Instalar IIS 7 en Windows Vista

                  Windows Vista será lanzado oficialmente, ¿cuáles son las diferencias con el XP ant
Configurar un servidor compartido con 2003 05

                               Debido a algunos archivos privados importantes, no queremos que otros
¿Cómo eliminar una matriz en el software de administración de tarjeta LSI 8708E SAS RAID MSM?

                  Descripción del problema ¿Cómo eliminar matrices en el software de administració
Tutorial gráfico de agregación de puertos del servidor

Si la placa base del servidor tiene 2 NIC Gigabit del mismo modelo, se recomienda realizar la agrega
No se puede cargar una instancia del filtro ISAPI

                   La vida y la muerte pseudoestáticas del servidor de hoy no se pueden cargar, y no
  • Servidor DNS
  • Servidor FTP
  • Servidor web
  • Servidor proxy
  • Servidor de correo
  • Síntesis de servidor
  • Sobre el servidor

    • ¿Qué debo hacer si Office Excel no se puede cerrar después de actualizar Win10 10547?

    Análisis de puntos clave de la tecnología de clúster del sistema Linux

    Consideraciones para usar ssh para administrar VPS bajo Linux

    Nokia desarrolló una tableta Windows RT para comenzar a usar su tableta para probar el programa

    La implementación de DHCP a menudo comete errores

    Ubuntu instala el método Simple Screen Recorder

    Cómo gestionar los cortafuegos en el sistema Win8

    Win10 Xiaona Cortana busca ¿qué tan lento para resolver? ¿Cómo buscar lentamente?

    Resuelva el problema de que el portátil no puede jugar a pantalla completa en el entorno del sistema _Win7

    Sistema práctico Win7 sistema de temporización cierre automático método práctico

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved