windows server 2012 DNS – بخش چهارم

با سلام

در ادامه مجموعه سری های آموزش DNS در ویندوز سرور ۲۰۱۲ با شما هستیم، در این قسمت که آخرین سری از سری قسمت های این آموزش می باشد به مباحث امنیتی در حوزه DNS می پردازیم. اگر شما جز آن دسته از خوانندگانی هستید که هنوز مطالب قسمت های قبل را نخوانده اید از فهرست زیر به این پست های می توانید دسترسی داشته باشد.

windows server 2012 DNS – بخش اول

windows server 2012 DNS – بخش دوم

windows server 2012 DNS – بخش سوم

windows server 2012 DNS – بخش چهارم


Active directory integrated zone:

تنها بر روی دامین کنترلری که DNS server ها را دارد پیکربندی می شود. این یک primary zone است با داده هایش که درپایگاه داده اکتیو دایرکتوری ذخیره شده است.

شکل زیر را ببینید:

14

استفاده از Active directory integrated zone منافع زیر را دربر دارد:

Secure dynamic updates:

آپدیت های داینامیک اجازه می دهند که کلاینت های DNS رکورد هایشان را به صورت خودکار در پایگاه داده DNS ثبت کنند. این ویژگی بر روی standard primary zone ها در دسترس است و فقط acive directory integrated DNS zones ها می توانند برای secure dynamic update ها پیکر بندی شوند. این به معنای آن است که شما می توانید روی زون ها permission تعریف کنید تا فقط کامپیوتر های مجاز، درون پایگاه داده DNS ثبت شوند.

Secure replication topology:

با وجود active directory integrated zone داده های DNS به عنوان بخشی از ریپلیکیشن اکتیو دایرکتوری به صورت خودکار فرستاده می شوند. به طور پیش فرض همه ریپلیکیشن های اکتیو دایرکتوری رمز گذاری شده هستند.

Increase resilience:

هیچ گونه خرابی هنگامی که ما چندین دامین کنترلر داریم که active directory integrated zone دارند وجود ندارد. هر دامین کنترلر یک کپی خواندنی نوشتنی از DNS zone دارد که این امکان را می دهد که عملیات به روز رسانی خودکار و تغییرات بر روی هر دامین کنترلری در کل دامین و یا فارست با استفاده از موتور ریپلیکیشن قدرتمند اکتیو دایرکتوری، ریپلیکیشن انجام شود.

Security permissions:

مانند هر شی اکتیو دایرکتوری می توان مدیریت و مجوز به زون ها داد و با ACL بتوان رکوردها را بر روی زون ها تغییر داد. در شکل زیر تب security را بر روی properties یک active directory integrated zone میبینیم.

15

پیکربندی پیشرفته ویندوز سرور ۲۰۱۲DNS

در ویندوز سرور ۲۰۱۲ تعدادی option های پیکربندی وجود دارد که باعث بهبود امنیت و عملکرد زیرساخت DNS می شود که تعدادی از آنها را در زیر مرور می کنیم.

(DNS security extension (DNSSEC:

پروتکل DNS امنیت و جامعیت اطلاعات تبادل شده بین سرورهای DNS و یا سرور DNS وبا کلاینت های DNS را تضمین نمی کند. این ضعف ممکن است منجر به حمله به فعالیت name resolution و همچنین جستجوی کاربر بر روی اینترنت شود. هدف هکر ها می تواند به دست گرفتن کنترل و هدایت کاربران به صفحات اینترنت قلابی و کلاهبردار باشد که در آنجا ممکن است از کاربران درخواست ورود اطلاعات شخصی و نام کاربری و رمز حساب بانکی و غیره شود.

DNSSEC از زیر ساخت کلید عمومی همراه با DNS استفاده می کند که در این صورت سرورهای DNS می توانند پاسخ های DNS را اعتبار سنجی کنند. با استفاده از DNSSEC یک ادمین میتواند بر روی یک زون یک علامت دیجیتالی بگذارد که به این معناست که بر همه رکورد ها درون آن زون علامت دیجیتالی گذاشته شده است. وقتی که یک درخواست پرس و جو برای منابع یک زون که علامت گذاشته شده است دریافت می شود یک امضای دیجیتالی به عنوان پاسخ برگردانده میشود که اعتبار سنجی انجام شود. عملیات اعتبار سنجی تضمین میکند  که داده ها تغییر پیدا نکرده اند و یا دست کاری نشده اند که می توانند مورد اطمینان DNS قرار بگیرند.

DNSSEC resource records:

انواع رکوردهای منابع می توانند با DNSSEC همراه شوند. امضا می تواند بعد از اجرای DNSSEC بر روی DNS zone به عنوان Resource Record Signature تولید شود. وقتی که DNS server به یک پرس و جوی نام پاسخ می دهد یک یا بیشتر رکورد RRSIG در پاسخ برگردانده می شود.

یک کلید رمز نگاری شده عمومی که در یک رکورد منبع DNS key وجود دارد برای تصدیق امضا استفاده می شود. رکورد DNS key به وسیله یک DNS server در حین پروسه اعتبار سنجی بازیابی می شود. اگر هیچ رکوردی مطابقت نداشت به این معنی است که هیچ رکورد RRSIG وجود ندارد. به هرحال باز هم پاسخ  DNS server باید اعتبار سنجی شود. در اینجا از رکوردهای Next secure (NSEC) استفاده می شود.

یک اعتبار سنج می تواند از رکورد NSEC برای اثبات این که نام وجود ندارد استفاده کند.

توجه شود NSEC3 جایگزین بهتری برای رکورد NSEC است و ویندوز سرور ۲۰۱۲ هر دو را پشتیبانی می کند.

Trust points and name resolution policy table:

دو تا مولفه مهم پیاده سازی DNSSEC عبارتند از Trust points و name resolution policy table.

Trust points:

یک راهی برای به اشتراک گذاشتن کلید عمومی را برای اعتبار سنجی امضای دیجیتالی رکورد RRSIG با بقیه سرورهای DNS فراهم می آورد. اگر سرور DNS بر روی یک دامین کنترلر در حال اجرا باشد نقاط اعتماد می توانند در forest directory partition در ADDS ذخیره شدند و می توانند با تمام DNS server های اجرا شده بر روی دامین کنترل فارست، ریپلیکیت انجام دهند.

(Name resolution policy table (NRPT:

این زون ها و فضاهای نامی که پرس و جو های DNSSEC انجام می دهند و آنهایی که انجام نمی دهند را لیست میکند. می توان برای پیکربندی NRPT هم از group policy و هم از poweshell استفاده کرد که نیاز به اعتبار DNSSEC در فضای نامی مورد نظر دارد.

با استفاده از پاورشل می توان تصدیق کرد که یک DNS zone به تازگی unsighned شده است.

در پاورشل دستور مقابل را وارد می کنیم. به خروجی توجه کنید:

Resolve-Dnsname FQDN –serverDNS_Server_name–dnssecok

16

حال یک DNS zone را با DNSSEC علامت گذاری می کنیم. خروجی تغییر می کند.

در زیر مراحل نشانه گذاری zone را می بینیم.

  • DNS manager را باز می کنیم. بر روی DNS zone راست کلیک کرده و DNSSEC – Sign the Zone را انتخاب می کنیم.

17

  • در این صفحه بر روی next کلیک می کنیم

18

  • در این صفحه Use default settings to sign the zone را انتخاب می کنیم next را می زنیم

19

  • Next را می زنیم

20

  • Finish را می زنیم

21

حالا می توان منابع RRSIG و DNSKEYوNSEC3 را دید که شامل زون علامت زده شده اند.

22

با اجرا کردن دوباره ویندوز پاورشل تصدیق می شود که zone علامت گذاری دیجیتالی شده است.

حال قبل از اعمال DNSSEC خروجی این نتیجه را با خروجی قبلی مقایسه می کنیم

23

DNS socket pool and cache locking:

DNSSEC طراحی شده است تا پرس و جوهای اسمی کلاینتهای DNS را از داده های ساختگی DNS حفاظت کند که این شامل مسمومیت DNS cache هم می شود.

Socket pool و cache locking دو تا آپشن پیشرفته پیکربندی هستند که به قوی تر کردن DNS security کمک می کنند.

DNS socket pool:

این فیچر به DNS server این اجازه را می دهد که از یک پورت منبع رندوم خارج از آن رنج ای که از قبل پیکربندی شده و برای ارسال پرس و جوی DNS به کار می رود استفاده کند. با استفاده کردن از پورت های مختلف برای هر پرس و جوی DNS باعث می شود که socket pool از حملات DNS cache poisoning حفاظت بیشتری شود.

شکل زیر نشان می دهد چگونه از ابزار dnscmd برای پیکربندی و تنظیمات سایز DNS socket pool استفاده کنیم

24

Cache locking:

وقتی این گزینه enable است DNS server به رکوردهای کش اجازه over write شدن در طول دوره TTL و بر روی رکورد های DNS را نمی دهند. این فیچر DNS cache را در مقابل حملات DNS cache poisoning کاربران مخرب بر روی اینترنت حفظ می کند.

Cache locking یک ارزش است که درصدی بیان می شود اگر ارزش cache locking را ۷۵  بگذاریم یعنی DNS server یک موجودیت کش را در ۷۵ درصد TTL جایگزین یا over write نمی کند. به طور پیش فرض بر روی ۱۰۰ تنظیم شده است که به این معنی است که در کل دوره TTL ، over write نمی شود.

می توان در شکل زیر استفاده از ابزار dnscmd را برای پیکربندی cache locking بر روی ویندوز سرور ۲۰۱۲ DNS را مشاهده کرد.

25

در این مقاله تعدادی از فیچر های امنیتی پیشرفته شامل active directory integrated zones, DNSSEC, socket pool و cache looking را مرور کردیم.

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *