一旦DNS配置不当,攻击者可以对DNS的配置信息获取网络环境的信息,为之后的攻击做好的准备。
显然,无论攻击者是直接利用DNS发起攻击,造成业务的中断又或者是对企业内部人员进行钓鱼攻击;还是仅仅利用DNS对整个网络环境嗅探,来为下次更有威胁性的攻击行为收集情报,都会对企业带来巨大的利益损失。
然而,面对这样一个威胁,很多企业却并没有对DNS服务器进行保护——究其原因,除了市面上缺乏对DNS的防护设备之外,企业本身也对于DNS存在的安全隐患了解较少。对于大部分企业而言,对于DNS的了解依然停留在了“能用就行”的地步,忽略了不安全的DNS会给自己带来的巨大损失。
对DNS服务器需要采取特别的安全保护措施
DNS服务器可为互联网提供域名解析服务,对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息,如用户主机名和IP地址等。正因如此,对DNS服务器要采取特别的安全保护措施。
为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务,它需要专门放置在内部DNS服务器上。
如果将内部网络的相关服务放置在外部DNS服务器上,则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为分割DNS。
在这种DNS服务器配置网络结构中,内部DNS服务器专用来为内部网络系统进行名称解析,使得内部网络用户可以通过它连接到其他内部系统,其中就包括内部防火墙和内部DMZ;外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字,但不能解析出内部网络系统主机的名字。