天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

使用Windows Server2008 R2 DNSSEC保护DNS连接

2010-5-17不详佚名

名,结果会生成签名区域文件,该签名区域文件包含RRSIG、DNSKEY、DNS和NSEC资源数据记录。如果区域被签名,该区域还必须使用dnscmd.exe工具或者DNS管理器控制台进行重新加载。

  对区域签名的一个限制是动态更新将被禁用。Windows Server 2008 R2仅限DNSSEC用于静态区域,只要区域发生任何变化,每次都必须重新签名,这可能会严重影响DNSSEC在很多环境的应用。

  信任锚的作用

  DNSKEY资源记录用于支持信任锚,验证DNS服务器必须包括至少一个信任锚。信任锚同样适用于签名区域,如果DNS服务器承载几个区域,那么必须使用多个信任锚。

  只要区域中部署了信任锚,DNSSEC就能使DNS服务器为客户端请求中的名称执行验证。客户端不需要知道这种DNSSEC验证,所以不清楚DNSSEC验证的客户端能够继续使用这个DNS服务器来解析局域网中的名称。

  NSEC和NSEC3

  NSEC和NSEC3是可以用于为DNS记录提供认证否定存在的有效方法,NSEC3是原来NSEC的升级版,允许我们防止“区域走动”,即防止攻击者重新获取DNS区域的所有名称。这是攻击者用于侦察网络的有力工具,这种功能在Windows Server 2008 R2中不支持,仅支持NSEC。

  以下是对NSEC3的有限支持:

  Windows Server 2008 R2可以承载有NSEC3代表的NSEC区域,但NSEC3子区域并不在windows DNS服务器上。

  Windows Server 2008 R2可以作为非授权DNS服务器,为NSEC签名并有NSEC3子区的区域配置了信任锚。

  Windows 7可以用于非微软DNS服务器(支持NSEC3)来进行域名解析

  当某区域被NSEC签名时,你可以配置NRPT不对该区进行验证。这样做的话,DNS服务器将不会执行验证,并会直接返回数据。

  部署 DNSSEC

  要部署DNSSEC的,需要按照以下步骤进行:

  了解DNSSEC的重要概念

  将DNS服务器升级到Windows Server 2008 R2

  审查区域签名要求,选择密钥滚动机制,并确定计算机和DNSSEC保护区域的安全性

  生成和备份为区域签名的密钥,确保DNS仍在运行,并在签名区域后回答查询请求

  将信任锚分发到使用DNSSEC执行DNS验证的非授权服务器

  为DNS服务器部署证书和Ipsec政策

  配置NRPT设置,并向客户端计算机部署Ipsec政策

  总结

  在本文中,我们探讨了DNSSEC和保护DNS基础设施对企业的重要性。Windows Server 2008 R2中存在的很多新功能可以帮助企业保护DNS基础设施的安全,这主要通过使用签名DNS区域、SSL安全连接到可信DNS服务器以及Ipsec验证和加密来实现。

9 7 3 1 2 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行