Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Miért érdemes ezt figyelembe venni?
Ha a zónaátviteli beállítás úgy van konfigurálva, hogy lehetővé tegye a zónaátvitelt bármely kiszolgálóra, elküldheti a tartománynévrendszer (DNS) zónaadatait egy gazember DNS-kiszolgálónak. Ezek a közzétett DNS-zónaadatok sebezhetőbbé tehetik a hálózatot a kibertámadásokkal szemben, mivel a kiberbűnözők ezeket a DNS-zónaadatokat fogják használni, hogy segítsék őket a hálózat leképezésében a bizalmas hálózati erőforrások tartománynevei, számítógépnevei és IP-címei szempontjából.
Tekintse meg a problémát magyarázó ügyfélmérnököt
Környezet és ajánlott eljárások
A zónafájl több DNS-kiszolgálóra való replikálásának folyamatát zónaátvitelnek nevezzük. A zónaátvitel úgy érhető el, hogy a zónafájlt egy DNS-kiszolgálóról egy második DNS-kiszolgálóra másolja. Az átvitel során a zónainformációk forrása a fő DNS-kiszolgáló. A fő DNS-kiszolgáló lehet elsődleges vagy másodlagos DNS-kiszolgáló. Ha a fő DNS-kiszolgáló elsődleges DNS-kiszolgáló, akkor a zónaátvitel közvetlenül az elsődleges zónát üzemeltető DNS-kiszolgálótól érkezik. Ha a fő kiszolgáló egy másodlagos DNS-kiszolgáló, akkor a fő DNS-kiszolgálótól zónaátvitel útján kapott zónafájl az írásvédett másodlagos zónafájl másolata.
A tartománynévrendszert (DNS) eredetileg nyílt protokollként tervezték, ezért sebezhető a kibertámadásokkal szemben. Alapértelmezés szerint a DNS-kiszolgáló szolgáltatás csak a zónaadatok átvitelét engedélyezi a zóna névkiszolgálói (NS) erőforrásrekordjaiban felsorolt kiszolgálókra. Ez egy biztonságos konfiguráció, de a nagyobb biztonság érdekében ezt a beállítást úgy kell módosítani, hogy engedélyezve legyen a zónaátvitel a megadott IP-címekre. Ha ez a beállítás úgy van módosítva, hogy lehetővé tegye a zónaátvitelt bármely kiszolgálóra, közzéteheti a DNS-adatokat egy kibertámadás számára, amely megpróbálja lenyomni a hálózatot.
A lábnyomozás az a folyamat, amellyel a DNS-zóna adatait egy kibertámadás lekérte, hogy a kibertámadás számára biztosítsa a bizalmas hálózati erőforrások DNS-tartományneveit, számítógépneveit és IP-címét. A kiberbűnözők általában azzal indítják el a támadást, hogy ezen DNS-adatok segítségével diagramot vagy lábnyomot ábrázolnak egy hálózatról. A DNS-tartomány és a számítógépnevek általában egy tartomány vagy számítógép függvényét vagy helyét jelzik, hogy a felhasználók könnyebben megjegyezzék és azonosíthassák a tartományokat és a számítógépeket. A kiberbűnözők ugyanazt a DNS-elvet használják a tartományok és számítógépek hálózatbeli funkciójának vagy helyének megismeréséhez.
Biztonsági szempontból tekintse át a zónaátviteli konfigurációra vonatkozó alábbi irányelveket:
- Alacsony szintű biztonság: Minden DNS-zóna engedélyezi a zónaátvitelt bármely kiszolgálóra.
- Közepes szintű biztonság: Minden DNS-zóna korlátozza a zónaátvitelt a zónák névkiszolgálói (NS) erőforrásrekordjaiban felsorolt kiszolgálókra.
- Magas szintű biztonság: Minden DNS-zóna korlátozza a zónaátvitelt a megadott IP-címekre.
Javasolt műveletek
Ha dns-zónát szeretne konfigurálni a biztonságos zónaátvitelhez, módosítsa a zónaátvitel beállítását arra a beállításra, amely lehetővé teszi a zónaátvitelt adott IP-címekre az alábbi műveletek végrehajtásával:
- A DNS-kezelőben kattintson a jobb gombbal a DNS-zóna nevére, és válassza a Tulajdonságok parancsot.
- A Zónaátvitelek lapon kattintson a Zónaátvitel engedélyezése elemre.
- Válassza a Csak a következő kiszolgálókat.
- Kattintson a Szerkesztés gombra, majd a másodlagos kiszolgálók listájának IP-címeiben adja meg a megadni kívánt kiszolgálók IP-címét.
- Amikor megadta az összes szükséges IP-címet, kattintson az OK gombra.
Ugyanezt az eredményt a dnscmd parancssor használatával is elérheti.
- Nyisson meg egy rendszergazda jogú parancssort.
- A parancssorba írja be a következő parancsot, és nyomja le az Enter billentyűt:
dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]
Például:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
További információ
A zónaátvitelek működésének megismeréséről további információt a zónák és a zónaátvitel ismertetése című https://technet.microsoft.com/library/cc781340(WS.10).aspxtémakörben talál.
A zónaátvitelek konfigurálásáról további információt a Zónaátviteli beállítások https://technet.microsoft.com/library/cc771652.aspxmódosítása című témakörben talál.