对区域签名的一个限制是动态更新将被禁用。Windows Server 2008 R2仅限DNSSEC用于静态区域,只要区域发生任何变化,每次都必须重新签名,这可能会严重影响DNSSEC在很多环境的应用。
信任锚的作用
DNSKEY资源记录用于支持信任锚,验证DNS服务器必须包括至少一个信任锚。信任锚同样适用于签名区域,如果DNS服务器承载几个区域,那么必须使用多个信任锚。
只要区域中部署了信任锚,DNSSEC就能使DNS服务器为客户端请求中的名称执行验证。客户端不需要知道这种DNSSEC验证,所以不清楚DNSSEC验证的客户端能够继续使用这个DNS服务器来解析局域网中的名称。
NSEC和NSEC3
NSEC和NSEC3是可以用于为DNS记录提供认证否定存在的有效方法,NSEC3是原来NSEC的升级版,允许我们防止“区域走动”,即防止攻击者重新获取DNS区域的所有名称。这是攻击者用于侦察网络的有力工具,这种功能在Windows Server 2008 R2中不支持,仅支持NSEC。
以下是对NSEC3的有限支持:
Windows Server 2008 R2可以承载有NSEC3代表的NSEC区域,但NSEC3子区域并不在windows DNS服务器上。
Windows Server 2008 R2可以作为非授权DNS服务器,为NSEC签名并有NSEC3子区的区域配置了信任锚。
Windows 7可以用于非微软DNS服务器(支持NSEC3)来进行域名解析
当某区域被NSEC签名时,你可以配置NRPT不对该区进行验证。这样做的话,DNS服务器将不会执行验证,并会直接返回数据。
部署 DNSSEC
要部署DNSSEC的,需要按照以下步骤进行:
了解DNSSEC的重要概念
将DNS服务器升级到Windows Server 2008 R2
审查区域签名要求,选择密钥滚动机制,并确定计算机和DNSSEC保护区域的安全性
生成和备份为区域签名的密钥,确保DNS仍在运行,并在签名区域后回答查询请求
将信任锚分发到使用DNSSEC执行DNS验证的非授权服务器
为DNS服务器部署证书和Ipsec政策
配置NRPT设置,并向客户端计算机部署Ipsec政策
总结
在本文中,我们探讨了DNSSEC和保护DNS基础设施对企业的重要性。Windows Server 2008 R2中存在的很多新功能可以帮助企业保护DNS基础设施的安全,这主要通过使用签名DNS区域、SSL安全连接到可信DNS服务器以及Ipsec验证和加密来实现。
9 7 3 1 2 4 8 :
本文来源:不详 作者:佚名