天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

使用Windows Server2008 R2 DNSSEC保护DNS连接

2010-5-17不详佚名
导言

  随着即将到来的Ipv6混乱时代,通过DNS名称访问计算机将比以往任何时候都更加重要。在过去的Ipv4时代,大家都发现运用IP网号点分四组机制能够很容易记住Ipv4地址。然而,Ipv6地址空间如此之大,十六进制格式如此之复杂,每个Ipv6地址都有128位,这是Ipv4地址长度的四倍,常人完全不可能记住这么长的IP地址。虽然更大的地址空间是为了满足不断增加的计算机的需求,但这也让我们更难以记住地址。

  问题:DNS数据库的不安全性

  这样造成的结果肯定是我们将越来越依赖于DNS,因此我们需要找到一种方法来确保DNS数据库内的数据总是准确而可靠,而其中最有效的途径就是确保DNS数据库的安全性。众所周知,DNS一直属于相对不安全的系统。

  由于这种不安全本质,DNS很容易成为攻击目标,DNS服务器曾遭遇过劫持攻击(将DNS域名解析重定向至流氓DNS服务器)、DNS记录欺骗以及DNS缓存中毒,让用户相信他们正在连接到合法网站,而实际上是连接到包含恶意内容的网站或者网址嫁接(pharming)获取用户信息。网址嫁接与网络钓鱼攻击类似,二者区别在于,网络钓鱼攻击是通过诱使用户点击电子邮件中的链接来登录到恶意网址,而网址嫁接则更加高明,用户在浏览器输入合法网站的正确网址,然而被更改的DNS记录则会将合法网址重定向至假的网络嫁接网址。

  解决方案 Windows Server 2008 R2 DNSSEC

  你可以在局域网使用Windows Server 2008 R2 DNSSEC来保护DNS环境,DNSSEC是能够提高DNS协议安全性的扩展集,这些扩展向DNS添加初始权限、数据完整性和认证否定存在,该解决方案还可以向DNS添加几条新记录,包括DNSKEY、RRSIGN、NSEC和 DS。

  DNSSEC如何运作

  DNSSEC的作用在于可以对DNS数据库中的所有数据都做标记,采用的方法与其他数据签名电子通信类似,例如电子邮件。当DNS客户端向DNS服务器发出一个请求时,DNS服务器会返回请求数据的数字签名,然后拥有DNS数据签名CA的公钥的客户端就能够解密哈希数值(签名)然后验证响应。为了实现这个过程,DNS客户端和服务器都要配置为使用相同的信任锚(trust anchor),信任锚是与特定DNS区域相关的预先设定的公钥。

  DNS数据库签名适用于基于文件(非Active Directory集成)和Active Directory集成区域,签名复制则可以用于这些区域授权的其他DNS服务器。

  Windows 2008 R2 和Windows 7 DNS客户端都默认配置为存根解析器。这种情况下,DNS客户端将允许DNS服务器代表客户端执行验证,但是DNS客户端能够接收从DNSSEC启用的DNS服务器返回的DNSSEC响应。DNS客户端本身被配置为使用名称解析策略表(NRPT)来确定应该如何与DNS联系。例如,如果NRPT指明DNS客户端需要确保DNS客户端与服务器间连接的安全,那么就可以对请求执行证书验证。如果安全验证失败,就说明域名解析过程中存在信任问题,并且域名查询请求也将失败。在默认情况下,当客户端向发出请求的程序返回DNS查询响应时,只有当DNS服务器验证信息后才会返回该信息。

  确保结果的有效性

  主要有两种方法来确保DNS请求结果的有效性。首先,你需要确保DNS客户端连接的DNS服务器确实是DNS客户端应当连接的DNS服务器,而不是攻击者部署的DNS服务器。Ipsec是用于验证DNS服务器的有效方式。DNSSEC使用SSL来确保连接的安全性。DNS服务器通过可信任方(例如私人PKI)签名的证书来验证其本身。

  请记住,如果你部署了执行Ipsec的服务器和域隔离,那么你必须将TCP和UDP端口53从政策中分离。否则,Ipsec政策将不会被用于基于证书的验证,这会导致客户端无法通过DNS服务器的证书验证,安全连接也无法建立。

  签名区域

  DNSSEC同样对区域签名,使用的是dnscmd.exe工具离线签9 7 3 1 2 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行