使用Windows 2008 R2 DNSSEC保護DNS連接

　　問題：DNS數據庫的不安全性

　　這樣造成的結果肯定是我們將越來越依賴于DNS，因此我們需要找到一種方法來確保DNS數據庫內的數據總是準確而可靠，而其中最有效的途徑就是確保DNS數據庫的安全性。眾所周知，DNS一直屬于相對不安全的系統。

　　由于這種不安全本質，DNS很容易成為攻擊目標，DNS服務器曾遭遇過劫持攻擊(將DNS域名解析重定向至流氓DNS服務器)、DNS記錄欺騙以及DNS緩存中毒，讓用戶相信他們正在連接到合法網站，而實際上是連接到包含惡意內容的網站或者網址嫁接(pharming)獲取用戶信息。網址嫁接與網絡釣魚攻擊類似，二者區別在于，網絡釣魚攻擊是通過誘使用戶點擊電子郵件中的鏈接來登錄到惡意網址，而網址嫁接則更加高明，用戶在瀏覽器輸入合法網站的正確網址，然而被更改的DNS記錄則會將合法網址重定向至假的網絡嫁接網址。

　　解決方案： Windows Server 2008 R2 DNSSEC

　　你可以在局域網使用Windows Server 2008 R2 DNSSEC來保護DNS環境，DNSSEC是能夠提高DNS協議安全性的擴展集，這些擴展向DNS添加初始權限、數據完整性和認證否定存在，該解決方案還可以向DNS添加幾條新記錄，包括DNSKEY、RRSIGN、NSEC和 DS。

　　DNSSEC如何運作

　　DNSSEC的作用在于可以對DNS數據庫中的所有數據都做標記，采用的方法與其他數據簽名電子通信類似，例如電子郵件。當DNS客戶端向DNS服務器發出一個請求時，DNS服務器會返回請求數據的數字簽名，然后擁有DNS數據簽名CA的公鑰的客戶端就能夠解密哈希數值(簽名)然后驗證響應。為了實現這個過程，DNS客戶端和服務器都要配置為使用相同的信任錨(trust anchor)，信任錨是與特定DNS區域相關的預先設定的公鑰。

　　DNS數據庫簽名適用于基于文件(非Active Directory集成)和Active Directory集成區域，簽名復制則可以用于這些區域授權的其他DNS服務器。

　　Windows 2008 R2 和Windows 7 DNS客戶端都默認配置為存根解析器。這種情況下，DNS客戶端將允許DNS服務器代表客戶端執行驗證，但是DNS客戶端能夠接收從DNSSEC啟用的DNS服務器返回的DNSSEC響應。DNS客戶端本身被配置為使用名稱解析策略表(NRPT)來確定應該如何與DNS聯系。例如，如果NRPT指明DNS客戶端需要確保DNS客戶端與服務器間連接的安全，那么就可以對請求執行證書驗證。如果安全驗證失敗，就說明域名解析過程中存在信任問題，并且域名查詢請求也將失敗。在默認情況下，當客戶端向發出請求的程序返回DNS查詢響應時，只有當DNS服務器驗證信息后才會返回該信息。

　　確保結果的有效性

　　主要有兩種方法來確保DNS請求結果的有效性。首先，你需要確保DNS客戶端連接的DNS服務器確實是DNS客戶端應當連接的DNS服務器，而不是攻擊者部署的DNS服務器。Ipsec是用于驗證DNS服務器的有效方式。DNSSEC使用SSL來確保連接的安全性。DNS服務器通過可信任方(例如私人PKI)簽名的證書來驗證其本身。

　　請記住，如果你部署了執行Ipsec的服務器和域隔離，那么你必須將TCP和UDP端口53從政策中分離。否則，Ipsec政策將不會被用于基于證書的驗證，這會導致客戶端無法通過DNS服務器的證書驗證，安全連接也無法建立。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]