Список сервисов, к которым будут применяться ограничения на DNS-протоколы
Обновлено: 03.07.2024
Вы можете использовать этот раздел, чтобы узнать, как настроить политику DNS в Windows Server® 2016 для создания фильтров запросов на основе предоставленных вами критериев.
Фильтры запросов в политике DNS позволяют настроить DNS-сервер для ответа в индивидуальном порядке в зависимости от DNS-запроса и DNS-клиента, отправляющего DNS-запрос.
Например, вы можете настроить политику DNS с помощью черного списка фильтров запросов, который блокирует запросы DNS от известных вредоносных доменов, что не позволяет DNS отвечать на запросы из этих доменов. Поскольку с DNS-сервера не отправляется ответ, время ожидания DNS-запроса злонамеренного члена домена истекает.
Другим примером является создание списка разрешений фильтра запроса, который позволяет только определенному набору клиентов разрешать определенные имена.
Критерии фильтрации запросов
Вы можете создавать фильтры запросов с любой логической комбинацией (И/ИЛИ/НЕ) следующих критериев.
| Имя | Описание |
|---|---|
| Подсеть клиента | Имя предопределенной клиентской подсети. Используется для проверки подсети, из которой был отправлен запрос. |
| Транспортный протокол | Транспортный протокол, используемый в запросе. Возможные значения: UDP и TCP. |
| Интернет-протокол | Сетевой протокол, используемый в запросе. Возможные значения: IPv4 и IPv6. |
| IP-адрес интерфейса сервера | IP-адрес сетевого интерфейса DNS-сервера, получившего запрос DNS. |
| FQDN | Полное доменное имя записи в запросе, с возможностью использования подстановочного знака. |
| Тип запроса | Тип запрашиваемой записи (A, SRV, TXT и т. д.). |
| Время суток | < td>Время дня, когда получен запрос.
В следующих примерах показано, как создавать фильтры для политики DNS, которые либо блокируют, либо разрешают запросы на разрешение имен DNS.
В примерах команд в этом разделе используется команда Windows PowerShell Add-DnsServerQueryResolutionPolicy. Дополнительные сведения см. в статье Add-DnsServerQueryResolutionPolicy.
Блокировать запросы из домена
В некоторых случаях вам может потребоваться заблокировать разрешение имен DNS для доменов, которые вы идентифицировали как вредоносные, или для доменов, которые не соответствуют правилам использования вашей организации. Вы можете выполнить блокировку запросов для доменов с помощью политики DNS.
Политика, которую вы настраиваете в этом примере, не создается для какой-либо конкретной зоны — вместо этого вы создаете политику уровня сервера, которая применяется ко всем зонам, настроенным на DNS-сервере. Политики уровня сервера первыми оцениваются и, следовательно, первыми сопоставляются при получении запроса DNS-сервером.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Если вы настраиваете параметр Action со значением IGNORE, DNS-сервер настроен на отбрасывание запросов вообще без ответа. Это приводит к тайм-ауту DNS-клиента во вредоносном домене.
Блокировать запросы из подсети
В этом примере вы можете заблокировать запросы из подсети, если обнаружено, что она заражена каким-либо вредоносным ПО и пытается связаться с вредоносными сайтами, используя ваш DNS-сервер.
` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `
В следующем примере показано, как можно использовать критерии подсети в сочетании с критериями полного доменного имени для блокировки запросов для определенных вредоносных доменов из зараженных подсетей.
Заблокировать тип запроса
Возможно, вам потребуется заблокировать разрешение имен для определенных типов запросов на ваших серверах. Например, вы можете заблокировать запрос «ЛЮБОЙ», который может быть использован злонамеренно для создания усиливающих атак.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Разрешить запросы только из домена
Вы можете использовать политику DNS не только для блокировки запросов, но и для автоматического утверждения запросов из определенных доменов или подсетей. Когда вы настраиваете списки разрешений, DNS-сервер обрабатывает запросы только из разрешенных доменов, блокируя все остальные запросы из других доменов.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Разрешить запросы только из подсети
Вы также можете создать списки разрешений для IP-подсетей, чтобы игнорировать все запросы, исходящие не из этих подсетей.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet" -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Разрешить только определенные типы QType
Вы можете применить списки разрешений к QTYPE.
Например, если у вас есть внешние клиенты, запрашивающие интерфейс DNS-сервера 164.8.1.1, можно запрашивать только определенные QTYPE, в то время как есть другие QTYPE, такие как записи SRV или TXT, которые используются внутренними серверами для разрешения имен или мониторинга. цели.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
Вы можете создать тысячи политик DNS в соответствии с вашими требованиями к управлению трафиком, и все новые политики применяются динамически — без перезапуска DNS-сервера — к входящим запросам.
Вы можете использовать этот раздел, чтобы узнать, как настроить политику DNS в Windows Server® 2016 для создания фильтров запросов на основе предоставленных вами критериев.
Фильтры запросов в политике DNS позволяют настроить DNS-сервер для ответа в индивидуальном порядке в зависимости от DNS-запроса и DNS-клиента, отправляющего DNS-запрос.
Например, вы можете настроить политику DNS с помощью черного списка фильтров запросов, который блокирует запросы DNS от известных вредоносных доменов, что не позволяет DNS отвечать на запросы из этих доменов. Поскольку с DNS-сервера не отправляется ответ, время ожидания DNS-запроса злонамеренного члена домена истекает.
Другим примером является создание списка разрешений фильтра запроса, который позволяет только определенному набору клиентов разрешать определенные имена.
Критерии фильтрации запросов
Вы можете создавать фильтры запросов с любой логической комбинацией (И/ИЛИ/НЕ) следующих критериев.
| Имя | Описание |
|---|---|
| Подсеть клиента | Имя предопределенной клиентской подсети. Используется для проверки подсети, из которой был отправлен запрос. |
| Транспортный протокол | Транспортный протокол, используемый в запросе. Возможные значения: UDP и TCP. |
| Интернет-протокол | Сетевой протокол, используемый в запросе. Возможные значения: IPv4 и IPv6. |
| IP-адрес интерфейса сервера | IP-адрес сетевого интерфейса DNS-сервера, получившего запрос DNS. |
| FQDN | Полное доменное имя записи в запросе, с возможностью использования подстановочного знака. |
| Тип запроса | Тип запрашиваемой записи (A, SRV, TXT и т. д.). |
| Время суток | < td>Время дня, когда получен запрос.
В следующих примерах показано, как создавать фильтры для политики DNS, которые либо блокируют, либо разрешают запросы на разрешение имен DNS.
В примерах команд в этом разделе используется команда Windows PowerShell Add-DnsServerQueryResolutionPolicy. Дополнительные сведения см. в статье Add-DnsServerQueryResolutionPolicy.
Блокировать запросы из домена
В некоторых случаях вам может потребоваться заблокировать разрешение имен DNS для доменов, которые вы идентифицировали как вредоносные, или для доменов, которые не соответствуют правилам использования вашей организации. Вы можете выполнить блокировку запросов для доменов с помощью политики DNS.
Политика, которую вы настраиваете в этом примере, не создается для какой-либо конкретной зоны — вместо этого вы создаете политику уровня сервера, которая применяется ко всем зонам, настроенным на DNS-сервере. Политики уровня сервера первыми оцениваются и, следовательно, первыми сопоставляются при получении запроса DNS-сервером.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Если вы настраиваете параметр Action со значением IGNORE, DNS-сервер настроен на отбрасывание запросов вообще без ответа. Это приводит к тайм-ауту DNS-клиента во вредоносном домене.
Блокировать запросы из подсети
В этом примере вы можете заблокировать запросы из подсети, если обнаружено, что она заражена каким-либо вредоносным ПО и пытается связаться с вредоносными сайтами, используя ваш DNS-сервер.
` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `
В следующем примере показано, как можно использовать критерии подсети в сочетании с критериями полного доменного имени для блокировки запросов для определенных вредоносных доменов из зараженных подсетей.
Заблокировать тип запроса
Возможно, вам потребуется заблокировать разрешение имен для определенных типов запросов на ваших серверах. Например, вы можете заблокировать запрос «ЛЮБОЙ», который может быть использован злонамеренно для создания усиливающих атак.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Разрешить запросы только из домена
Вы можете использовать политику DNS не только для блокировки запросов, но и для автоматического утверждения запросов из определенных доменов или подсетей.Когда вы настраиваете списки разрешений, DNS-сервер обрабатывает запросы только из разрешенных доменов, блокируя все остальные запросы из других доменов.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Разрешить запросы только из подсети
Вы также можете создать списки разрешений для IP-подсетей, чтобы игнорировать все запросы, исходящие не из этих подсетей.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet" -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Разрешить только определенные типы QType
Вы можете применить списки разрешений к QTYPE.
Например, если у вас есть внешние клиенты, запрашивающие интерфейс DNS-сервера 164.8.1.1, можно запрашивать только определенные QTYPE, в то время как есть другие QTYPE, такие как записи SRV или TXT, которые используются внутренними серверами для разрешения имен или мониторинга. цели.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
Вы можете создать тысячи политик DNS в соответствии с вашими требованиями к управлению трафиком, и все новые политики применяются динамически — без перезапуска DNS-сервера — к входящим запросам.
На рабочем месте некоторые веб-страницы могут отвлекать сотрудников или, что еще хуже, мешать работе. Если вы являетесь поставщиком управляемых услуг (MSP), ваши клиенты могут быть заинтересованы в том, чтобы найти способ контролировать типы веб-сайтов, к которым их сотрудники могут обращаться в течение рабочего дня. Одним из возможных вариантов для них является блокировка DNS для ограничения доступа к определенным веб-адресам на данном сервере.
Сопутствующий товар
DNS-фильтрация
Защитите своих клиентов в сетях и за их пределами с помощью нашей передовой технологии DNS.
Сопутствующий товар
N-центральный
Управляйте большими сетями или масштабируйте ИТ-операции с помощью RMM, созданного для растущих поставщиков услуг.
Эта статья поможет вам понять, что такое блокировка DNS, кто ее использует и как она работает. Мы также коснемся некоторых тем, связанных с безопасностью DNS в целом, в том числе рекомендаций и ключевых терминов, чтобы дать вам представление о некоторых связанных угрозах кибербезопасности.
Что такое блокировка DNS?
Блокировка DNS — это механизм, который позволяет запретить доступ к определенным веб-страницам на сервере. Изначально эта технология была разработана для защиты от спама и фишинговых атак путем блокировки известных подозрительных IP-адресов. Сегодня он служит множеству целей: одни люди используют его для защиты от пиратства, а другие — для предотвращения доступа к зараженным или вызывающим привыкание сайтам (например, азартным играм) на рабочем месте.
Основная функция программного обеспечения для блокировки DNS проста: оно служит шлюзом между веб-сервером и вашим личным сервером, гарантируя, что ваш браузер не распознает заблокированный IP-адрес и не сможет получить доступ к серверу веб-сайта.
Кто использует блокировщики DNS?
Поскольку компании из разных отраслей сегодня проводят большую часть рабочего дня в Интернете, блокировка DNS превратилась из своей первоначальной роли в средство защиты от спама. Сегодня организации могут использовать эту возможность, чтобы запретить доступ к деструктивным или отвлекающим сайтам на рабочем месте — от сайтов с азартными играми до сайтов социальных сетей. Многие программы блокировки DNS позволяют администраторам настраивать свои блокировки, чтобы указать, какие типы сайтов они хотят ограничить, поэтому у некоторых пользователей могут быть более гибкие меры безопасности.
Поскольку блокировка DNS — это серверная система идентификации, а не программное приложение, несколько устройств в данной сети, включая смартфоны, планшеты и другие устройства, также могут управляться блокировками DNS.
Как работает блокировка DNS?
Чтобы полностью понять, как работает блокировка DNS, нам нужно сделать шаг назад. IP-адрес веб-страницы — по сути, многозначный идентификационный код — является ее основным именем на домашнем сервере. Но пользователям нецелесообразно вводить IP-адреса каждый раз, когда они хотят получить доступ к веб-странице. Например, если вы ищете Twitter, было бы совершенно непрактично искать его IP-адрес — 199.59.149.165 — каждый раз, когда вы хотите попасть на домашнюю страницу. DNS — или система доменных имен — представляет собой процесс присвоения веб-сайтам имен на человеческом языке, а не их числовых IP-адресов.
Созданная в 1983 году, чтобы сделать Интернет более интуитивно понятным для обычных пользователей, DNS, по сути, действует как телефонная книга, которая связывает удобное для пользователя доменное имя с его более техническим IP-адресом. (Весь «перевод» выполняется вашими серверами в фоновом режиме.)
Блокировка DNS работает путем удаления имени IP-адреса из «телефонной книги» на вашем сервере.Например, если вы заблокируете Twitter с помощью блокировщика DNS, ваш сервер намеренно забудет имя, присвоенное 199.59.149.165. В результате блокировщики не позволяют вашему серверу обнаруживать определенные веб-страницы. Чтобы заблокировать целые жанры веб-страниц, например пиратские сайты, службы блокировки DNS могут настроить ваш сервер на забвение большого количества IP-адресов, соответствующих определенным критериям. Это прерывает связь между IP-сервером и устройством пользователя.
Таким образом, блокировка DNS может быть быстрым и простым способом предотвратить доступ сотрудников к вредоносным или нежелательным веб-страницам с незначительными накладными расходами и без физического оборудования.
Основные советы по безопасности DNS
Как видите, DNS играет важнейшую роль в облегчении современного веб-трафика и, по вполне понятным причинам, становится частой целью кибератак. Использование блокировки DNS считается одним из многих передовых методов, которые могут оказать большое влияние на общую кибербезопасность.
Читайте дальше, пока мы изучаем некоторые другие советы по безопасности DNS, которые помогут вам предотвратить угрозы, исходящие из этого общего источника.
- Используйте резервные DNS-серверы для повышения доступности
DNS является фундаментальной частью работы сетевых приложений, таких как Active Directory, службы обмена файлами и службы электронной почты. Другими словами, это означает, что MSP должны гарантировать высокую доступность инфраструктуры DNS своих клиентов.
Для резервирования требуется, как минимум, первичный и вторичный DNS-серверы, чтобы поддерживать работу важных для бизнеса служб. Это позволяет одному серверу взять на себя управление в случае возникновения ошибки на другом, что повышает доступность инфраструктуры и снижает риск сбоев.
Как и в случае с другими аспектами управления ИТ, к DNS-серверам следует относиться в соответствии с принципом наименьших привилегий, то есть они должны быть доступны только для определенных конечных пользователей, которые их используют. Ваш основной сервер должен быть скрыт от просмотра и доступен только для системных администраторов и уполномоченного ИТ-персонала.
Самый эффективный способ отслеживания активности DNS – ведение журнала, позволяющее выявить проблемы, связанные с активностью клиента, запросами, обновлениями и т. д. Журналы отладки также можно использовать для выявления отравления кеша (также называемого «спуфингом DNS» — подробнее об этом ниже). вместо этого ранее посещали вредоносный.
После включения журналов отладки следующим шагом будет блокировка кеша. Всякий раз, когда DNS получает запрос, он извлекает и сохраняет нужные данные в кэше для будущего использования, что значительно сокращает время ответа сервера на те же запросы. Однако, как упоминалось выше, хакеры могут использовать кеш в качестве вектора атаки для получения доступа к вашим системам.
Блокировка кеша помогает предотвратить это, ограничивая время изменения сохраненной информации, тем самым предотвращая ее перезапись до истечения TTL (время жизни). Блокировка кеша может быть включена по умолчанию и может быть настроена для блокировки перезаписи данных в течение определенного процента TTL.
Узнайте также:
Ключевые термины безопасности DNS, которые нужно знать
Хотите лучше понять некоторые ключевые термины и сокращения, связанные с защитой DNS? Скорее всего, вы столкнетесь с одним из следующих:
Благодаря этим передовым методам и ключевым терминам вы будете готовы управлять службами DNS для своих клиентов и лучше предотвращать распространенные проблемы безопасности.
Обязательно прочитайте также наше подробное руководство по устранению неполадок с DNS.
Если в настройках передачи зоны разрешена передача зоны на любой сервер, вы можете отправить данные зоны системы доменных имен (DNS) на мошеннический DNS-сервер. Эти открытые данные зоны DNS могут сделать вашу сеть более уязвимой для атак, поскольку злоумышленники будут использовать эти данные зоны DNS, чтобы помочь им составить карту вашей сети с точки зрения доменных имен, имен компьютеров и IP-адресов ваших конфиденциальных сетевых ресурсов.
Посмотрите, как специалист по работе с клиентами объясняет проблему
Контекст и рекомендации
Процесс репликации файла зоны на несколько DNS-серверов называется передачей зоны. Передача зоны достигается путем копирования файла зоны с одного DNS-сервера на второй DNS-сервер. Главный DNS-сервер является источником информации о зоне во время передачи. Главный DNS-сервер может быть первичным или вторичным DNS-сервером. Если главный DNS-сервер является первичным DNS-сервером, то передача зоны происходит непосредственно с DNS-сервера, на котором размещена первичная зона. Если главный сервер является вторичным DNS-сервером, то файл зоны, полученный от главного DNS-сервера посредством передачи зоны, является копией файла вторичной зоны, доступного только для чтения.
Система доменных имен (DNS) изначально была разработана как открытый протокол и поэтому уязвима для злоумышленников.По умолчанию служба DNS-сервера разрешает передачу информации о зоне только на серверы, указанные в записях ресурсов сервера имен (NS) зоны. Это безопасная конфигурация, но для повышения безопасности этот параметр следует изменить на параметр, разрешающий передачу зоны на указанные IP-адреса. Если этот параметр изменить, чтобы разрешить передачу зоны на любой сервер, ваши данные DNS могут быть раскрыты злоумышленнику, пытающемуся проникнуть в вашу сеть.
Отпечатки — это процесс, с помощью которого злоумышленник получает данные зоны DNS, чтобы предоставить злоумышленнику доменные имена DNS, имена компьютеров и IP-адреса для конфиденциальных сетевых ресурсов. Злоумышленник обычно начинает атаку, используя эти данные DNS для построения диаграммы или следа сети. Имена доменов и компьютеров DNS обычно указывают на функцию или расположение домена или компьютера, чтобы помочь пользователям легче запомнить и идентифицировать домены и компьютеры. Злоумышленник использует тот же принцип DNS, чтобы узнать функцию или расположение доменов и компьютеров в сети.
Ознакомьтесь со следующими рекомендациями по настройке передачи зоны с точки зрения безопасности:
- Низкий уровень безопасности: все зоны DNS разрешают передачу зоны на любой сервер.
- Безопасность среднего уровня. Все зоны DNS ограничивают передачу зон серверам, указанным в записях ресурсов сервера имен (NS) в их зонах.
- Высокий уровень безопасности: все зоны DNS ограничивают передачу зон указанным IP-адресам.
Предлагаемые действия
Чтобы настроить зону DNS для безопасной передачи зоны, измените настройку передачи зоны на параметр, разрешающий передачу зоны на определенные IP-адреса, выполнив следующие действия:
- В диспетчере DNS щелкните правой кнопкой мыши имя зоны DNS и выберите "Свойства".
- На вкладке "Передача зоны" нажмите "Разрешить передачу зоны".
- Выберите Только для следующих серверов.
- Нажмите «Изменить», затем в списке IP-адресов дополнительных серверов введите IP-адреса серверов, которые вы хотите указать.
- После ввода всех необходимых IP-адресов нажмите кнопку "ОК".
Вы также можете использовать инструмент командной строки «dnscmd» для достижения того же результата.
- Откройте командную строку с повышенными правами.
- В командной строке введите следующую команду и нажмите Enter:
dnscmd /ZoneResetSecondaries /SecureList [ ]
Подробнее
Чтобы получить общий отзыв о Центре ресурсов или контенте, отправьте свой ответ на UserVoice. Для конкретных запросов и обновлений контента, касающихся Services Hub, свяжитесь с нашей службой поддержки, чтобы отправить запрос.
Читайте также: