Система доменных имен (DNS) делает возможным любое сетевое взаимодействие. DNS может казаться невидимой силой или сущностью, пока что-то не пойдет не так, и тогда это становится очевидным: если служба DNS не работает, то не работает ничего.
В этой статье мы расскажем о лучших практиках и наиболее важных мерах безопасности для поддержания работоспособности инфраструктуры DNS. Обязательно примите во внимание перечисленные ниже моменты, чтобы создать безопасную и надежную DNS.
Передовые методы повышения производительности DNS
Обеспечение избыточности и высокой доступности DNS
Поскольку DNS является основой сетевых приложений, инфраструктура DNS должна быть высокодоступной. Чтобы обеспечить необходимую избыточность, в вашей организации должны быть как минимум первичный и вторичный DNS-серверы.
Чтобы обеспечить работу критически важных служб, необходимо иметь как минимум два внутренних DNS-сервера. Все службы активного каталога, общего доступа к файлам и электронной почты зависят от правильной работы DNS. Без здоровых и функциональных внутренних DNS-серверов внутренние устройства не могут взаимодействовать.
Если с одним DNS-сервером возникают проблемы, другой немедленно берет на себя их решение. Администраторы настраивают машины на автоматическое использование вторичного DNS, если основной не отвечает на запросы. IP-адресом внутреннего DNS-сервера может быть любой адрес в диапазоне IP-адресов частной сети.
Избыточность DNS-серверов позволяет добиться высокой доступности инфраструктуры DNS. Непрерывная репликация с первичного на вторичный сервер обеспечит синхронизацию записей DNS и защитит их от сбоев. Вы можете быть уверены, что никогда не наступит момент, когда конечный пользователь не сможет воспользоваться услугами.
Скрытие DNS-серверов и информации о DNS
Не каждый DNS-сервер и не каждая информация должны быть доступны всем пользователям.
Сначала сделайте доступными только те серверы и данные, которые необходимы тем, кто использует эти серверы. Это особенно важно, если ваши доменные имена должны быть видны публике.
Во-вторых, спрячьте свой основной DNS-сервер. Первичные серверы не должны быть видны внешним пользователям. Записи для этих серверов не должны находиться в общедоступных базах данных серверов имен. Только вторичные DNS-серверы должны отвечать на запросы конечных пользователей.
Если DNS-сервер доступен извне вашей сети, он должен быть только авторитетным DNS-сервером. Внешним пользователям нет необходимости обращаться к вашим рекурсивным DNS-серверам. Ответы только на итеративные запросы для соответствующих зон, для которых сервер является авторитетным, - это высокопроизводительная конфигурация.
Наконец, доступ к первичным серверам в вашей организации должен быть только у системных администраторов и ИТ-персонала. Если вы оставите первичные DNS-серверы видимыми для всех внутренних пользователей, это может стать серьезной проблемой безопасности. Как правило, следует скрывать DNS-серверы и данные от пользователей, которым не нужен доступ к ним.
Использовать ли внешний или внутренний DNS-сервер?
Ответ на этот вопрос зависит от внутренней настройки.
Чтобы устройства в одном домене могли общаться друг с другом, необходимо направить их на внутренний DNS-сервер. Внешние DNS-серверы не могут разрешать имена хостов внутренних устройств.
Например, когда компьютер DESKTOP1 отправляет DNS-запрос на office-printer или сервер hr-1, только внутренний DNS может предоставить запись ресурса. Если вы настроите устройство на использование внешнего DNS, например 8.8.8.8 от Google, вы не сможете использовать внутренние ресурсы.
Во внутренних средах необходимо установить первичный и вторичный DNS на внутренний сервер имен. Даже если первичный DNS-сервер выйдет из строя, проблем с подключением не возникнет. Вторичный DNS-сервер содержит все записи и действует как резервный. В случае неполадок этот сервер отвечает на все запросы до тех пор, пока не восстановится работа основного сервера.
Используйте локальный или ближайший DNS-сервер
Крупные организации часто имеют офисы по всему миру. Если инфраструктура позволяет, следует установить локальный DNS-сервер в каждом офисе.
Причина в том, что локальный сервер сокращает время отклика на запросы DNS. Когда запрос проходит через глобальную сеть к удаленному серверу имен, пользователь получает более длительное время загрузки.
При большом количестве клиентов растет число DNS-запросов. Один централизованный набор DNS-серверов может обрабатывать все запросы, но с большей задержкой. Если направить компьютеры пользователей на локальный или ближайший сервер имен, время отклика сократится до минимума.
В этом случае задержка не превышает 50 мс. Более того, обычно это значение гораздо ниже. Использование ближайшего DNS-сервера улучшает время загрузки для всех машин. Таким образом, вы также снимаете нагрузку с удаленного сервера HQ и повышаете его производительность. Рекомендация иметь не менее двух DNS-серверов остается в силе и здесь.
Лучшие методы обеспечения безопасности DNS
DNS-серверы - частая мишень для кибератак. Защита инфраструктуры DNS - важнейший шаг в предотвращении проникновения в вашу организацию. Чтобы избежать серьезных последствий для вашей DNS-установки, обязательно используйте меры безопасности, описанные ниже.
Включите ведение журнала DNS
Ведение журнала DNS - это наиболее эффективный способ мониторинга активности DNS. Из журналов вы узнаете, не вмешивается ли кто-то в работу ваших DNS-серверов. Помимо активности клиентов, журналы отладки сообщают вам о проблемах с DNS-запросами или обновлениями.
В журналах DNS также можно обнаружить следы отравления кэша. В этом случае злоумышленник изменяет данные, хранящиеся в кэше, и сбивает клиентов с курса. Например, IP-адрес сайта www.youtube.com может быть изменен на IP-адрес вредоносного сайта. Когда клиент отправляет запрос в DNS на youtube.com, сервер возвращает неверный IP. После этого пользователи посещают сайты, которые они не хотели посещать, и становятся мишенью для хакеров.
Несмотря на то что отладочная регистрация DNS поднимает безопасность на более высокий уровень, некоторые системные администраторы решают отключить ее. Основная причина - повышение производительности. Мониторинг сетевой активности может помочь вам обнаружить некоторые атаки, такие как DDoS, но не отравление кэша. Поэтому мы настоятельно рекомендуем включить отладочные журналы DNS.
Блокировка DNS-кэша
При каждом запросе от клиента DNS находит информацию и сохраняет ее в кэше для дальнейшего использования. Этот процесс позволяет серверу быстрее отвечать на одни и те же запросы. Злоумышленники могут использовать эту функцию, изменяя сохраненную информацию.
Шагом дальше включения отладочных журналов DNS является блокировка кэша DNS. Эта функция определяет, когда кэшированные данные могут быть изменены. Сервер хранит информацию о поиске в течение времени, определяемого TTL (time to live). Если блокировка кэша отключена, то информация может быть перезаписана до истечения TTL. Это оставляет возможность для атак на отравление кэша.
В зависимости от операционной системы блокировка кэша может быть включена по умолчанию. Шкала блокировки кэша доходит до 100 процентов. Если значение установлено на 70, перезапись данных невозможна в течение 70 % TTL. При значении блокировки кэша 100 изменение кэшированной информации блокируется до истечения TTL.
Фильтр DNS-запросов для блокировки вредоносных доменов
Фильтрация DNS - это эффективный способ предотвратить доступ пользователей к веб-сайту или домену. Основная причина блокировки разрешения имен для домена - если этот домен известен как вредоносный. Когда клиент отправляет запрос на заблокированный сайт, DNS-сервер прекращает любое взаимодействие между ними.
DNS-фильтрация значительно снижает вероятность попадания вирусов и вредоносных программ в вашу сеть. Когда клиент не может попасть на вредоносную страницу, количество угроз, которые могут проникнуть в вашу инфраструктуру, становится минимальным. Таким образом, вашему ИТ-персоналу не придется работать круглосуточно, чтобы очистить сеть от вирусов.
Помимо безопасности, организации могут захотеть заблокировать домен в соответствии с политикой бизнеса или по соображениям производительности. В список блокируемых доменов могут входить социальные сети, азартные игры, порнография, страницы потокового видео или любые другие сайты. DNS может фильтровать запросы по пользователям, группам или блокировать доступ для всех пользователей.
Современные программные решения для обеспечения безопасности и межсетевые экраны включают фильтрацию DNS в стандартную комплектацию. Некоторые из этих устройств предоставляют регулярно обновляемые списки нежелательных доменов. Используя готовое программное решение, вы можете автоматизировать фильтрацию DNS и не добавлять новые записи вручную.
Проверка целостности данных DNS с помощью DNSSEC
Расширения безопасности системы доменных имен (DNSSEC) обеспечивают получение клиентами корректных ответов на их запросы. Целостность данных достигается за счет цифровой подписи данных DNS, предоставляемых серверам имен, с помощью DNSSEC. Когда конечный пользователь отправляет запрос, DNS-сервер предоставляет цифровую подпись вместе с ответом. Таким образом, клиенты знают, что получили достоверную информацию для отправленного ими запроса.
Этот дополнительный уровень безопасности помогает бороться с атаками на протокол DNS. Поскольку DNSSEC обеспечивает целостность данных и авторитет происхождения, атаки DNS-спуфинга и отравления кэша успешно предотвращаются. Клиенты могут быть уверены, что они посещают именно те страницы, которые хотели посетить.
Настройка списков контроля доступа
Списки контроля доступа (ACL) - это еще один способ защиты DNS-серверов от несанкционированного доступа и атак подмены. Только ИТ-администраторы и системные администраторы должны иметь доступ к вашему основному DNS. Настройка ACL для разрешения входящих подключений к серверу имен с определенных узлов гарантирует, что только те сотрудники, для которых они предназначены, смогут взаимодействовать с вашими серверами.
Кроме того, ACL должны определять, какие серверы могут осуществлять передачу зон. Злоумышленники могут попытаться определить настройки вашей зоны, отправляя запросы на передачу зоны через вторичные DNS-серверы. Если заблокировать все запросы на передачу зон через вторичные серверы, злоумышленник не сможет получить информацию о зоне. Такая конфигурация не позволит третьим лицам получить представление о том, как организована ваша внутренняя сеть.
Заключение
Всегда есть возможность улучшить дизайн DNS и безопасность вашей инфраструктуры. Постоянные угрозы таятся и ждут, чтобы использовать уязвимости в вашей ИТ-системе.
Однако если вы будете следовать пунктам, перечисленным в этом руководстве, вы охватите наиболее важные аспекты, необходимые вашей инфраструктуре DNS для обеспечения безопасности и устойчивости.