10.3使用DNS與防火牆 當DNS和防火牆一起使用,或通過防火牆使用DNS時,必須先考慮兩件事:節點或企業的安全政策以及將使用的防火牆的類型。首先必須考慮安全政策,以決定哪些流量允許通過防火牆。而防火牆的類型將決定數據在專用網絡、DMZ以及Internet之間將如何處理。 防火牆可以有若干功能,包括分組過濾、代理、狀態檢測和告警等。狀態檢測是檢查存儲進、出防火牆的分組信息以決定會話狀態的機制。這個狀態將由檢測機制來決定是否允許此分組通過防火牆。 將身份驗證、加密和高度的審核組合在一起就可以提供若干強有力的安全工具。許多防火牆解決方案可直接支持DNS;或者提供模板來進行設置,使得域名服務的請求可以從一邊通過到另一邊。對於要設計節點的安全政策的管理員來說,至少可以有兩種考慮: 使所有資源都可以訪問,但要做好備份。 對每台機器的訪問都是有限制的,只允許對你的網絡最需要的流量通過。 在第一種方案中,甚至在作為到Internet的網關的路由器都不使用過濾器。而第二種方案,只允許某些端口、協議,以及一些指定名字的機器,而這些在同一網絡上的機器還要進一步互相防衛。只允許特定機器訪問是一個很重要的特征。 為了保護這些機器,至少需要對每台機器設置不同的管理員帳戶和不同的口令。這樣做的目的是為了使這些機器盡可能互相獨立,萬一黑客侵入了一台機器,他也不能用同樣的帳戶和口令侵入域區的其他系統。作為類比,就像在一個軍用飛機場應將飛機和燃料分散存放,以減少萬一其中一個目標發生事故所造成的損失。對不同的機器設置不同的帳戶就不容易同時被非法侵入許多機器。這些機器間的信任關系如果不是完全去掉的話,至少也受到嚴重的限制。這意味著防御帶在活動目錄森林的外面,這樣做的結果是限制了對合法用戶的友好性。記住,如果是一台可信任的機器,則可用來檢查該組並注冊信任域的結構。 防火牆可以有多種設置,DNS也可以有相應的多種處理方法。關鍵是要注意兩件事,,其一是要使外部世界可以訪問一台授權域名服務器,以便從本地解析可公用的主機;其二是內部的主機應能訪問外部域名服務器(通過某種機制,如前向服務器或代理服務器)以便查找其他的域的主機。 對域名服務器的最好保護措施是定期地備份域區和配置信息,而且應確保這些備份信息在需要恢復文件時立即可用。將一個域對外界隱藏起來當然是一種很好的保護措施,但對於想訪問外部世界的網絡內部用戶卻不方便。 備份域區信息的一種方法是指定一個備份DNS服務器,在主服務器上把它作為一個合法的輔服務器,主服務器上的每一個域區都能快速映射到輔服務器上。可以把這種方法用於負載量很大的主服務器上,以減少備份時間,而且,在一些UNIX的解決方案中,該技術可從輔服務器中重新注入這些域區,而不用移動文件等。 可以設置一個域,使得其主域名服務器在防火牆以內(可保證安全),而將輔服務器設置在防火牆以外,以處理外部主機的查找。如果管理員不在乎讓外部世界看到整個域,這將是一種很好的安排。於是就有拆分式DNS的概念,即有兩個域的版本,一個為外部使用,而另一個為企業內部使用。這樣就可以更進一步而且可以更實際地運行兩套DNS服務器,其中公共查找輔服務器設置在外部網絡上,記得仔細檢查一遍這些輔服務器的配置以確定可移動的風險因素,如不合法的Telnet,或掌握域區傳送的能力。 對今天的大多數企業來說,它的網絡上的用戶至少要通過Internet訪問Web節點和使用電子郵件。凡在這種情況下,將域隱藏起來不是一個很好的解決方案。如果出自安全性的考慮,管理員要限制外界對域的訪問,則通過拆分式DNS或者其他限制對外公開主機的方法也許是最好的解決方案。第9章描述了拆分式DNS及其設置。 傳統的拆分式DNS需要兩台主服務器:一台在防火牆內,另一台在防火牆外。防火牆外的外部主域名服務器的域區文件只有少量的條目,一般只有域的MX記錄、關於WWW和FTP服務器的記錄。另外,這些條目取決於防火牆的類型,有些條目是為了在由防火牆內部用戶建立的會話過程中供外部主機用來進行反向查找的。 有些防火牆使用地址翻譯來重新分配已確定的IP地址列表。為了使這些IP地址在有些過程中可以使用,還需要將它們反向映射為有效的主機名。這些主機名只能由外部域名服務器來處理,而不能被內部域名服務器所解析。內部主域名服務器將包含域中每個主機的條目(包括外部主機)。內部DNS將設置為轉接到外部DNS,也就是從屬於外部DNS。外部轉發器可以是外部公共DNS服務器,或者是企業專門用來作為轉發器的服務器,這些取決於能力、預算、安全性的外延及安全政策。 其結果是當域名服務器不能回答客戶機的查詢時,就將查詢轉到外部域名服務器。因為內部域名服務器設置為外部域名服務器的從屬服務器,因此內部服務器自己將不進行查詢的解析,而是等待外部服務器來提供答案。如防火牆設置為只允許域名服務器查詢在這些主機之間傳送,則可以防止外部主機的查詢到達內部域名服務器。需要考慮的是內部轉發機器是一個完全從屬的緩存還是包含有內部域區數據,如果沒有內部信息、沒有客戶,只有其他的DNS服務器,則可直接使用它,如果有內部域區數據,則應包含所有內部域區數據,僅從屬於Internet名。轉發機器應轉發它不能提供權威回答的所有查詢,甚至可以提供參考另一個內部DNS服務器。因此,它應該包含完整的域區文件,這也導致了希望把它放在一個更安全的地方,而且,預算、網絡大小和負載、關心的程度也都將限制對方案的選擇,記住轉發功能作為檢查點也是設計中的瓶頸。 因為此時的內部和外部域名服務器都是主服務器,所以也沒有域區傳送需要通過防火牆。這種安排的困難在於管理員必須分別維護兩組域區文件,若是防火牆兩邊還有輔服務器,維護工作量將加大。這也可能出現人為錯誤和混亂命名導致名字沖突,因為內部域和外部域看起來是相同的。如使用不同的內部和外部域名,則僅需做一個小小的變動就可解決這個問題,但對將來名字空間的發展有了一定的限制。 設置可以通過防火牆工作的DNS服務器的關鍵步驟是: 1)建立內部主DNS服務器和輔服務器。 2)建立外部主DNS服務器和輔服務器。 3)決定域中哪些主機要對外。 4)決定外部客戶將如何解析外部分和如何配置內部服務器來提供這些功能。
5)使得只有對指定主機的域名服務才能通過防火牆。 6)對設計進行測試,確保其工作和預期的相同。 最後一步的目的是很清楚的。一定要確保設計能正常工作,特別是從外部節點來測試,以確定是否只有管理員允許公布的信息才可使用。同樣,也要從內部來確定防火牆是否已適當地設置,以及防火牆內部的用戶是否能解析外部域。外部域的大規模解析對容量和可靠性的要求可能需要提供並行路徑。 一種DNS通過防火牆的很好的配置方法是在防火牆或DMZ內部有一個主服務器存放外部名字空間,在其外部有一個輔服務器。就全世界來說,外部服務器可以是主服務器,因為區別僅在於何時考慮誰擁有主域區文件。可以在內部服務器上執行所有的維護操作,而外部服務器將按所要求更新域區,這樣可能需要運行三個服務器,但這樣肯定比允許從外部訪問主服務器更安全。而且,如果域區被毀壞,還可以在內部控制主服務器域區。如果想使用這種技術,要確保防火牆僅用於輔服務器到主服務器的通信(反之亦然)。有些專家還建議,為了確保更安全,要用沒有用過的高端口進行通信而不是標准DNS的53端口。這僅涉及到有關DNS設計的一些可選方案和一些防火牆產品的特點。這是一個很大的主題而且附加的資源可直接用於防火牆類型和能力,在應用中可作為參考。 10.4服務通告 windows 團體已意識到並且承認在進出一個園區網絡時過濾NetBIOS端口是一個很好的預防措施。主要考慮的問題與大部分DNS管理員看到的原因相似,那就是沒有必要讓每個人都有能力接收域區傳送。知識就是力量,至少在這種情況下,它可以映射出可以在哪裡獲得權力。從DNS域區文件中得到的信息與以前從WINS數據庫中得到的信息有質的不同,兩者都給節點上的機器和公司在結構的某些方面提供了一個相當好的映射。但NetBIOS名字可附有一些信息,比如在不同的機器上正在運行何種類型的服務,哪一台為域控制器,哪一台主管Web服務,哪一台主管數據庫等,這甚至是給了每個人更大的“權力”。 隨著使用SRV記錄的引入,DNS數據如果不能超過,也至少在能力上等價於NetBIOS,提供通告服務以使其他主機定位。這是有關在域定位服務的幫助下windows 2000 可提供的多個方面的功能(理解windows 2000 SRV記錄的結構) SRV記錄不使用傳統的用法,也不使用NetBIOS名字空間。困難在於通告增加了系統管理員的負擔,管理員不得不進一步加強對機器的管理。安全性是通過附加的努力而獲得的,有時它是由不需要大家都知道的模糊的東西來提高的。盡量隱藏並不是真正的安全,但進一步加強是很困難的。底線是如果該SRV記錄並不需要公布於眾,那就不要公布,這將導致雙向名和拆分設計,然而這是因為外部世界已被隔離,而內部網絡仍在使用這些信息。 LDAP與DNS沒有直接的關系,但是對於名字空間,LDAP的收集有關windows 機器(無論它是對NT4.0的升級或windows 2000 機器)的配置,它的服務、小組、帳號等信息的能力也是不應忽略的。活動目錄及其目錄服務建立在LDAP之上,活動目錄設計的目標包括幫助一個合法用戶發現和訪問資源。這種可訪問性本身並不壞,問題在於什麼是“合法用戶”。實現方法從加強直到隱藏,在其中有很多結合。 10.5動態DNS 安全性總是在提供的能力與希望封鎖的程度之間的一種平衡,DNS中的動態更新能力為搶劫名字提供了前所未有的機會。反過來,它可以促成欺騙和中間人產生,以及一般惡意的毀壞性攻擊。這不是它不得不怎麼樣的問題,而是它能怎麼樣的問題。隨著工業DNS提供者使用這種技術
