Windows2000 DNS 技术指南 10
Windows2000 DNS 技术指南 10
第10章安全问题
本章的内容包括:
• 电子欺骗和域名查询。电子欺骗可以使D N S服务器相信一台不可靠的主机是一台合法
的辅服务器。不道德的黑客用这种技术来获得域区文件的副本,而当内部计算机的地址
被他们知道后,就很容易受到直接的攻击。
• 拒绝服务。大量服务请求涌向一台机器使它不能正常工作,这是某些攻击形式的第一步。
这种情况下的保护是对维持高可用性服务的一个练习。几个D N S相关的配置在这方面会
有所帮助。
• 使用D N S和防火墙。防火墙是一种运行专门软件的计算机或特殊装置,用限制通过它们
的访问来保护一个或多个网络。防火墙的配置变化较大,从专用的的硬件、路由器解决
方案,多台机器的方案到只有一台有两个或更多网卡的机器。要有一个与I n t e r n e t的连
接和一个与内部网或D M Z的连接,D N S根据解析和公共需要作特殊的配置。
• 服务通告。知道有关目标的更多知识通常有助于攻击者探索其弱点。与主机保护和已公
布名字空间中的服务通告相关的问题经常通过限制访问这些公布的内容来解决。D N S和
N e t B I O S名空间是大家都很关注的,但服务记录和L D A P服务增加的因素却是全新的。
• 动态D D N S,这种新能力有很多许诺,也有很多危险。在使用这种动态更新机制时对
Windows 2000 操作系统特有的问题在此作简单的翻新。
• 邮件安全性:S M T P,P O P,I M A P和E x c h a n g e邮件服务器可能遭受多种攻击。介绍若干
比较严重的安全隐患,并建议如何使用DNS MX记录和邮件中继来减少受攻击的可能
性。
• W W W安全性。因为We b服务器和浏览器功能越来越强,使用越来越普遍,也就越来越
可能成为破坏安全性的入口。描述某些We b安全性问题,以及一些可用来防卫的技术。
• F T P安全性。F T P服务器对于通过来传送软件和电子文档是十分有用的,也可We b
服务器中实现和发布。描述和F T P有关的安全问题。
本章并不覆盖设置网络连接到I n t e r n e t时应考虑的所有安全问题。本章的目的是帮助读者
理解这些安全问题和D N S服务的关系。有人说安全性应从设计开始。除非从开始设计,安全
的弱点总是分层的拼凑物,或者通过重新设计实现的。事实上,网络安全不是一件事情,而
是由很多细小的配置部分共同促成的。在说明对公共网络连接的需求和它的风险时,本章把
重点放在D N S上。很多风险必须在内部说明。例如,除了所选择的那些可以引出F T P和
Te l n e t服务器的内部端口。过滤掉所有其他的并不很好。大的企业可以从内部获得效益,在
安全领域实行逻辑分割,并且在这些情况下,在处理公共网络时面临的一些问题也可应用在
内部。
在处理安全问题时,应确保跟上所有新的安全公报、补丁和b u g修正。除了仍与你的提供
商保持联系外,还应该与其他一些企业保持联系,这些企业不一定把重点放在D N S上,但也
发布警告和提供咨询。
10.1 电子欺骗和域名查询
D N S电子欺骗是指黑客进入系统并更改主机的I P映射使之指向虚假的主机。发生这种电
子欺骗的可能性是存在的,但要完全成功也比较难。黑客对D N S服务器攻击的最大危害是破
坏域区信息的完整性,并可能将查询请求转指到其他的主机。有幸的是这类攻击是比较容易
防卫和更正的。
N s l o o k u p、p i n g、t r a c e r o u t e等应用程序可用来确定计算机的信息是否被修改(特别是发
现不属于这个节点或这个域的I P地址)。如果觉得存在问题,可查询其他授权服务器和检查结
果。如果攻击发生在一定时间以前,错误信息可能已经在网络中缓存,但这些信息将会过期
并回到正常的工作状态。如果不能确信你的服务器中是否有错误信息,就用n s l o o k u p反复查
询,并检查它的结果。为了确定被破坏的数据来自缓存还是已进入到域区数据中,可以使用
高级模式在D N S管理控制台中检查,也可以使用D N S C M D . E X E检查,如果问题出在缓冲中,
可以刷新服务器的缓存,重新经过每一个工具。可以停机、重启域区或服务器,强迫从它的
存储中读取域区信息。应该在分析出了破坏点在哪儿以后再采取相应的措施。
当然,这些情况不应该发生,但如果发生了,就需要立即更正。把一个监视器放在合适
的地方、特别是大的域区旁是很重要的。然而,如果可以进行早期探测,攻击的踪迹是新的
并且阻止将来受攻击的可能性将增加。在有些情况下,可以很成功地实现监视,如观察服务
器性能和网络的不正常测量结果比观察域区中被破坏的数据或错误的回答更容易。不要忽视
D N S C M D . E X E,它可以描绘域区数据的传送、可以在一定点与标准数据进行周期性的比较。
困难的是确定黑客是如何或从什么地方侵入系统来进行第一次修改。使用入侵检测软件
包或监听可有助于追查黑客。有很多书籍和资料专门讨论和处理这个问题。
黑客从变换域区可得到的好处是可以将用户引向他们控制的机器。然后,黑客利用这种
设置来获得他想截取的用户注册信息和邮件帐户信息,并利用这些信息侵入网络上的其他主
机。当黑客拿一个未授权的机器作为授权服务器对一个域进行操作时,他就可以通过截取和
回答查询来污染I n t e r n e t上其他名字服务器的缓存。虽然有些保护方法反对这样做,但
Windows2000 DNS服务器可以通过配置保护它的缓存。
减少这种入侵危险的一种方法是使用反向查找来进行验证。如果一台主机想装扮成另一
台服务器,则反向查找可以验证此I P地址是否能回到同一个主机。实际上,有些F T P和H T T P
服务器在允许或连接前就用这种方法进行了验证。为了在你的环境中使用这种保护方法,
你的D N S服务器必须配置有反向查找域区的功能。
设置域名服务器的最好策略之一就是使它尽可能安全。不要使用有许多用户登录或有许
多交互式服务的机器作为域名服务器。许多安全专家建议,如果通信量允许最好把一个单独
的服务运行在一个单独的机器上。有些人甚至建议对所有的远程访问或者取消或者对它进行
严格的控制,只有通过解密的私有网络或者类似的其他机制的访问才能接受。
另一个要注意的问题是黑客可以从域名服务器通过域区传送来获得地址。防止将数据送
到非法辅服务器的最好的方法是,在D N S管理控制台的Zone Tr a n s f e r (域区传送)选项卡中列出
所有的合法D N S服务器。在图1 0 - 1中选择Allow Zone Tr a n s f e r(允许域区传送),然后选择条
目“Only to the Following Servers(仅到下面的服务器中)”,并且添上服务器的I P,然后使用
Notify 选项卡给支持此功能的服务器配置N o t i f y选项(参见图11 - 8)。既使在认为这些信息不
是危险的条件下,这样做也是一个很好的方法,它提供一个高效的性能,甚至可以在有令人
第10章安全问题105
不高兴的、恶劣的人的内部网络中提供保护。由于安全问题使我们看到人性坏的方面,或者,
不得不考虑它存在的可能性,真是太不好了。
图10-1 控制域区传送仅到指定的机器
10.2 拒绝服务
拒绝服务攻击有时在欺骗手段中使用,有时是出于恶意的损坏。这种攻击方法利用了服
务器的T C P / I P栈实现中存在的公认的安全问题,或者仅仅利用了机器的能力是有限的特点。
通过发送包含有错误的或特殊格式的大量文件包会导致服务器无法回答或完全瘫痪。如果此
时路由器和合适的子网上的一台机器已失效的话,就为用替代方法进行欺骗敞开了大门。
最显然的预防措施是维护,并且只实现最少量的服务。对于D N S服务器,有时可用一些
特殊的方法来解决,就象D N S服务器用于提供公共名字空间时一样。如果不得不响应请求,
就设置D N S服务拒绝递归查询(参见第11章),这样不仅扩展了机器的容量,而且限制了所用
D N S服务器代码的传送路径。利用操作系统知识的和已安装服务器级别的拒绝服务攻击,并
且当它们只需要一个或几个特殊格式的报文时很难检测到。如果这些攻击的信号容易监视,
将会堵上这个漏洞,另一方面,如果是基于大量包的攻击,则有很明显的特征。
至此想到的另一个与D N S服务器相关的事情是主服务器没有必要放在公共空间中提供服
务,最好放在内部或放在D M Z中。这样可以很容易建立好的监视系统,该系统周期地检查
D N S服务器是否正常。在D N S服务器属性页的M o n i t o r i n g选项卡中也可实现监视的能力,除非
它需要通过公共接口指向特定的远程服务器,它都会象所需要的那样发出警报。
10.3 使用D N S与防火墙
当D N S和防火墙一起使用,或通过防火墙使用D N S时,必须先考虑两件事:节点或企业
的安全政策以及将使用的防火墙的类型。首先必须考虑安全政策,以决定哪些流量允许通过
防火墙。而防火墙的类型将决定数据在专用网络、D M Z以及I n t e r n e t之间将如何处理。
106第二部分使用Windows 2000 DNS服务器
防火墙可以有若干功能,包括分组过滤、代理、状态检测和告警等。状态检测是检查存
储进、出防火墙的分组信息以决定会话状态的机制。这个状态将由检测机制来决定是否允许
此分组通过防火墙。
将身份验证、加密和高度的审核组合在一起就可以提供若干强有力的安全工具。许多防
火墙解决方案可直接支持DNS ;或者提供模板来进行设置,使得域名服务的请求可以从一边
通过到另一边。对于要设计节点的安全政策的管理员来说,至少可以有两种考虑:
• 使所有资源都可以访问,但要做好备份。
• 对每台机器的访问都是有限制的,只允许对你的网络最需要的流量通过。
在第一种方案中,甚至在作为到I n t e r n e t的网关的路由器都不使用过滤器。而第二种方案,
只允许某些端口、协议,以及一些指定名字的机器,而这些在同一网络上的机器还要进一步
互相防卫。只允许特定机器访问是一个很重要的特征。
为了保护这些机器,至少需要对每台机器设置不同的管理员帐户和不同的口令。这样做
的目的是为了使这些机器尽可能互相独立,万一黑客侵入了一台机器,他也不能用同样的帐
户和口令侵入域区的其他系统。作为类比,就像在一个军用飞机场应将飞机和燃料分散存放,
以减少万一其中一个目标发生事故所造成的损失。对不同的机器设置不同的帐户就不容易同
时被非法侵入许多机器。这些机器间的信任关系如果不是完全去掉的话,至少也受到严重的
限制。这意味着防御带在活动目录森林的外面,这样做的结果是限制了对合法用户的友好性。
记住,如果是一台可信任的机器,则可用来检查该组并注册信任域的结构。
防火墙可以有多种设置, D N S也可以有相应的多种处理方法。关键是要注意两件事,其
一是要使外部世界可以访问一台授权域名服务器,以便从本地解析可公用的主机;其二是内
部的主机应能访问外部域名服务器(通过某种机制,如前向服务器或代理服务器)以便查找
其他的域的主机。
对域名服务器的最好保护措施是定期地备份域区和配置信息,而且应确保这些备份信息
在需要恢复文件时立即可用。将一个域对外界隐藏起来当然是一种很好的保护措施,但对于
想访问外部世界的网络内部用户却不方便。
备份域区信息的一种方法是指定一个备份D N S服务器,在主服务器上把它作为一个合法
的辅服务器,主服务器上的每一个域区都能快速映射到辅服务器上。可以把这种方法用于负
载量很大的主服务器上,以减少备份时间,而且,在一些U N I X的解决方案中,该技术可从辅
服务器中重新注入这些域区,而不用移动文件等。
可以设置一个域,使得其主域名服务器在防火墙以内(可保证安全),而将辅服务器设置
在防火墙以外,以处理外部主机的查找。如果管理员不在乎让外部世界看到整个域,这将是
一种很好的安排。于是就有拆分式D N S的概念,即有两个域的版本,一个为外部使用,而另
一个为企业内部使用。这样就可以更进一步而且可以更实际地运行两套D N S服务器,其中公
共查找辅服务器设置在外部网络上,记得仔细检查一遍这些辅服务器的配置以确定可移动的
风险因素,如不合法的Te l n e t,或掌握域区传送的能力。
对今天的大多数企业来说,它的网络上的用户至少要通过I n t e r n e t访问We b节点和使用电
子邮件。凡在这种情况下,将域隐藏起来不是一个很好的解决方案。如果出自安全性的考虑,
管理员要限制外界对域的访问,则通过拆分式D N S或者其他限制对外公开主机的方法也许是
最好的解决方案。第9章描述了拆分式D N S及其设置。
第10章安全问题107
传统的拆分式D N S需要两台主服务器:一台在防火墙内,另一台在防火墙外。防火墙外
的外部主域名服务器的域区文件只有少量的条目,一般只有域的M X记录、关于W W W和F T P
服务器的记录。另外,这些条目取决于防火墙的类型,有些条目是为了在由防火墙内部用户
建立的会话过程中供外部主机用来进行反向查找的。
有些防火墙使用地址翻译来重新分配已确定的I P地址列表。为了使这些I P地址在有些过
程中可以使用,还需要将它们反向映射为有效的主机名。这些主机名只能由外部域名服务器
来处理,而不能被内部域名服务器所解析。内部主域名服务器将包含域中每个主机的条目
(包括外部主机)。内部D N S将设置为转接到外部D N S,也就是从属于外部D N S。外部转发器
可以是外部公共D N S服务器,或者是企业专门用来作为转发器的服务器,这些取决于能力、
预算、安全性的外延及安全政策。
其结果是当域名服务器不能回答客户机的查询时,就将查询转到外部域名服务器。因为
内部域名服务器设置为外部域名服务器的从属服务器,因此内部服务器自己将不进行查询的
解析,而是等待外部服务器来提供答案。如防火墙设置为只允许域名服务器查询在这些主机
之间传送,则可以防止外部主机的查询到达内部域名服务器。需要考虑的是内部转发机器是
一个完全从属的缓存还是包含有内部域区数据,如果没有内部信息、没有客户,只有其他的
D N S服务器,则可直接使用它,如果有内部域区数据,则应包含所有内部域区数据,仅从属
于I n t e r n e t名。转发机器应转发它不能提供权威回答的所有查询,甚至可以提供参考另一个内
部D N S服务器。因此,它应该包含完整的域区文件,这也导致了希望把它放在一个更安全的
地方,而且,预算、网络大小和负载、关心的程度也都将限制对方案的选择,记住转发功能
作为检查点也是设计中的瓶颈。
因为此时的内部和外部域名服务器都是主服务器,所以也没有域区传送需要通过防火墙。
这种安排的困难在于管理员必须分别维护两组域区文件,若是防火墙两边还有辅服务器,维
护工作量将加大。这也可能出现人为错误和混乱命名导致名字冲突,因为内部域和外部域看
起来是相同的。如使用不同的内部和外部域名,则仅需做一个小小的变动就可解决这个问题,
但对将来名字空间的发展有了一定的限制。
设置可以通过防火墙工作的D N S服务器的关键步骤是:
1) 建立内部主D N S服务器和辅服务器。
2) 建立外部主D N S服务器和辅服务器。
3) 决定域中哪些主机要对外。
4) 决定外部客户将如何解析外部分和如何配置内部服务器来提供这些功能。
5) 使得只有对指定主机的域名服务才能通过防火墙。
6) 对设计进行测试,确保其工作和预期的相同。
最后一步的目的是很清楚的。一定要确保设计能正常工作,特别是从外部节点来测试,
以确定是否只有管理员允许公布的信息才可使用。同样,也要从内部来确定防火墙是否已适
当地设置,以及防火墙内部的用户是否能解析外部域。外部域的大规模解析对容量和可靠性
的要求可能需要提供并行路径。
一种D N S通过防火墙的很好的配置方法是在防火墙或D M Z内部有一个主服务器存放外部
名字空间,在其外部有一个辅服务器。就全世界来说,外部服务器可以是主服务器,因为区
别仅在于何时考虑谁拥有主域区文件。可以在内部服务器上执行所有的维护操作,而外部服
108第二部分使用Windows 2000 DNS服务器
务器将按所要求更新域区,这样可能需要运行三个服务器,但这样肯定比允许从外部访问主
服务器更安全。而且,如果域区被毁坏,还可以在内部控制主服务器域区。如果想使用这种
技术,要确保防火墙仅用于辅服务器到主服务器的通信(反之亦然)。有些专家还建议,为了
确保更安全,要用没有用过的高端口进行通信而不是标准D N S的5 3端口。这仅涉及到有关
D N S设计的一些可选方案和一些防火墙产品的特点。这是一个很大的主题而且附加的资源可
直接用于防火墙类型和能力,在应用中可作为参考。
10.4 服务通告
Wi n d o w s团体已意识到并且承认在进出一个园区网络时过滤N e t B I O S端口是一个很好的预
防措施。主要考虑的问题与大部分D N S管理员看到的原因相似,那就是没有必要让每个人都
有能力接收域区传送。知识就是力量,至少在这种情况下,它可以映射出可以在哪里获得权
力。从D N S域区文件中得到的信息与以前从W I N S数据库中得到的信息有质的不同,两者都给
节点上的机器和公司在结构的某些方面提供了一个相当好的映射。但N e t B I O S名字可附有一
些信息,比如在不同的机器上正在运行何种类型的服务,哪一台为域控制器,哪一台主管
We b服务,哪一台主管数据库等,这甚至是给了每个人更大的“权力”。
随着使用S RV记录的引入, D N S数据如果不能超过,也至少在能力上等价于N e t B I O S ,提
供通告服务以使其他主机定位。这是有关在域定位服务的帮助下Windows 2000可提供的多个
方面的功能(理解Windows 2000 SRV记录的结构)。
S RV记录不使用传统的用法,也不使用N e t B I O S名字空间。困难在于通告增加了系统管理
员的负担,管理员不得不进一步加强对机器的管理。安全性是通过附加的努力而获得的,有
时它是由不需要大家都知道的模糊的东西来提高的。尽量隐藏并不是真正的安全,但进一步
加强是很困难的。底线是如果该S RV记录并不需要公布于众,那就不要公布,这将导致双向
名和拆分设计,然而这是因为外部世界已被隔离,而内部网络仍在使用这些信息。
L D A P与D N S没有直接的关系,但是对于名字空间, L D A P的收集有关Wi n d o w s机器(无
论它是对NT 4.0的升级或Windows 2000机器)的配置,它的服务、小组、帐号等信息的能力
也是不应忽略的。活动目录及其目录服务建立在L D A P之上,活动目录设计的目标包括帮助一
个合法用户发现和访问资源。这种可访问性本身并不坏,问题在于什么是“合法用户”。实现
方法从加强直到隐藏,在其中有很多结合。
10.5 动态D N S
安全性总是在提供的能力与希望封锁的程度之间的一种平衡, D N S中的动态更新能力为
抢劫名字提供了前所未有的机会。反过来,它可以促成欺骗和中间人产生,以及一般恶意的
毁坏性攻击。这不是它不得不怎么样的问题,而是它能怎么样的问题。随着工业D N S提供者使
用这种技术,以及对基本密钥交换支持的加入,把这种技术应用在公共名空间已经可以很大
程度上增加安全性。应该清楚Windows 2000中实现动态更新机制能得到的安全特征的局限性,
以及用户使用不同安全手段的局限。应该参考第7章中的讨论,该部分涉及到在Windows 2000
的最初版本中可得到的配置。在大多数条件下,在公开发布的名字空间中并不需要动态更新
的能力。如果你的配置将影响公共网络的目录应用和服务,就需仔细检查一下可选方案,是
否使用动态更新,和使用时的安全性,以及当前的发展。
第10章安全问题109
对于大部分应用,为每一个公共访问点都提供动态更新能力是完全没有必要的。企业外
部网与私有网络技术的结合,包括运行在开放网络上的企业外部网技术,使活动目录技术可
以扩展到内部网以外这些方面应该被探索。此处隐含的策略是锁住动态更新直到所希望到达
的程度,并保持它的用途和好处,这种技术最好叫做“仅限于内部使用”,此时有一个可信的
用户组。
在发布的Windows 2000的实现中,只有把域区数据集成到动态目录中才能确保动态D N S
更新机制的安全,离线的Wi n d o w s用户不能向依从于R F C的非微软D N S服务器发送安全的更
新请求。在Windows 2000 DNS服务器上使用安全更新机制时,缺省情况下允许授权用户组中
的每一个成员创建新记录,创建好以后,创建帐户成为拥有者,并且只有它自己可以更改和
删除此记录,管理员和有系统特权的除外。D n s U p d a t e P r o x y组,是一个特别指定的组,它有
不同的行为方式。当该组中的成员创建了一个D N S记录以后,该记录的拥有者并不是创建帐
户,而是第一个更改或刷新该记录的帐户。前面定义的用于活动目录的Windows 2000安全机
制可以更改这种缺省行为,但这种缺省行为是在削弱或防碍动态更新过程和保证安全之间的
一个很合理的折衷。
10.6 邮件安全:S M T P、P O P、I M A P和E x c h a n g e
安全顾问总是对破坏s e n d m a i l、E x c h a n g e和I M A P服务器等的可能性提出警告。在域中邮
件的处理在很大程度上取决于域名服务器和防火墙的设置。一般地, P O P和I M A P服务应该在
防火墙以内,以保护用户的邮件、目录,特别是口令,防止外界使用这些信息来侵入节点。
只要记住P O P(除非是A P O P)用明文发送口令,任何人都可以暗中破坏用户和服务器之间的
一个路由器,从而监视传送路径的人都可得到用户名和口令。最好使用认证服务器进程,它
不用明文发送口令。
在实际应用中最好使用防火墙以外的某个服务器作为中继,然后再将邮件发往主服务器。
这样就必须在防火墙外有一个可输出的值得信任的服务器。你可能希望是外面的一个简单的服
务器或交换服务器。如果确实希望更安全,可以安装一个监视程序以进一步证实在这个外部服
务器上没有产生大的变动。一旦发生了改变,就应该从“ sources/CD/some uncontaminated
s o u r c e”复制。
使用交换服务器时不需要特别小心,因为它就像任何邮件服务器一样。如果比较关心谁
连接着你的服务器,可以监视2 5号端口的连接。
一般来说,应该使用域中的某台主机作为对内或对外邮件的中继。对内部邮件使用中继,
可使实际的邮件系统置于防火墙以内,并可配置为只允许域内主机的邮件连接。与此类似,
中继可用于对外邮件,以隐藏内部的机器,并可使用一种特殊的编址规则,使所有对外的邮
件都以u s e r@t h e . d o m a i n作为发送地址,即只用域名而不用主机名。这种做法使收信者对邮件
响应的地址也简化为对一个域的响应,并有助于保护内部发送邮件的机器的标识。
当然,邮件头部的完全显示也会显示邮件传递的路径,但如果原来的主机是隐藏在防火
墙以内,并且不能通过企业的D N S服务器来解析,则也不会有什么问题。如果确实有问题,
也可用重发程序来克服。最好的重发程序是自己写的适用于你的特定环境的程序。如果希望
隐藏最初的源,在重发信息前要把邮件头部全部去掉。
内部域名服务器的M X记录可以将任何非本地地址的邮件从内部主机指向中继器。中继器
110第二部分使用Windows 2000 DNS服务器
在收到邮件后,再通过外部域名服务器进行另一次查找以便将邮件发到其I n t e r n e t上的目的地。
中继器也可设置为将域的内部邮件转接到防火墙内的一台专用主机,再由这台主机将邮件通
过邮寄的别名发送到内部的用户或子域。另外, M X记录也可用于将邮件传送到域的内部主
机。
10.7 WWW安全性
当谈到W W W时,在今天似乎是每个人都有一个We b站点。重要的是如何保证We b服务器
的安全和保护其内容。问题在于有了一个We b站点存在,也就是有一台每个人都可看到的机
器(如果此机器不可以被看到,为什么还要设置We b服务器?)。一个例外是目标为企业内部
职工的企业网( I n t r a n e t )站点。
有许多产品和技术可用于保证计算机上信息的安全性,其中使用时间最长的是分组过滤。
管理员可以在机器上安置一个过滤器来保护We b服务器,使得只有We b通信才能经过服务器,
其他都不可以。从机器上阻塞了Te l n e t、F T P和电子邮件等服务,就可以限制可能附加在这些
服务上的攻击。
对保护We b节点来说,代理服务器也是很有用的,因为远端的用户将决不会实际进入We b
服务器。远端用户的请求被代理服务器截获,然后由代理服务器查询We b服务器。代理服务
器再将信息返回给远端请求数据的用户。
还可使用各种重定向技术,此时We b服务器名通过D N S解析为一个虚拟的I P地址。当请求
加载到这个虚拟的I P地址时,可以被重定向到相应的实际的服务器。在这种情况下,远端的
用户的确从实际的We b服务器得到了信息,但We b服务器的实际I P地址对用户却是隐藏的。这
些重定向技术还可以对负载平衡以及高可用性解决方案提供高度的灵活性。
通常称D N S可以负载平衡,或者至少可使到达一个目标的路径随机化,该目录可以是一
个We b服务器也可以是它们的代理服务器。当有很多合法服务需传送时,将会遇到很多问题,
并且需要对组件和数据服务更直接的访问。这些都渐渐偏离了纯粹的包过滤方案,但所有方
案都需要D N S、We b、防火墙管理员之间的协调。
与以前提到的D N S攻击结合,可能会受到“中间人”的攻击,如果黑客可以把发向一个
特定We b地址的请求重新指定到他自己的机器上,而且他的机器上有一个更改了的服务器,
该黑客就可以用他的机器为你的We b客户发回请求服务,并监视此节点的一切反应。这就是
为什么要有一个安全服务器,保证它不受D N S攻击很重要。
10.8 FTP安全性
F T P服务器有它自己在安全方面的弱点,帮助提高F T P服务器安全性的方法之一是通过用
户的反向查找。许多F T P服务器的登录连接是由已知其主机名和I P地址的远端主机接人的。反
向查找可用来验证建立连接的主机的主机名和I P地址。虽然这看起来对提高安全性并没有多
大的作用,但至少可以表明是否采用真实的I P地址和主机名来登录,即是否为合法的F T P服务
器登入。顺便说一句,很多H T T P服务器查找信息的注册方式,也是使用反向查找。
反向查找的目的是要确认I P地址和主机名是否完全相符。如果主机名和I P地址不相符,
F T P服务器就会拒绝的连接要求。在使用反向查找的同时也可使用过滤器,以防止其他类
型的访问进人F T P主机。既使是友好的、同一房间内的服务器,也可以考虑使用这种安全方法,
第10章安全问题111
只要由D N S来支持反向解析和一个可胜任的F T P服务器。
管理员经常犯的错误之一是在设置匿名F T P节点时允许匿名用户在目录中进行写操作。这
可能为黑客修改系统文件以致导致系统不稳定的企图留下缺口,或者黑客可以多次登入,占
用大量C P U和存储器资源。这类攻击有可能造成服务器以及服务器所在的子网停止服务。
具有匿名F T P是很有用的,有时甚至是很必要的。对访问F T P服务器的数目加以限制,并
且不允许匿名用户具有写的权限,可以为管理员减少许多麻烦。匿名F T P存在的另一个问题是
其口令是以清晰的、可读的文本来传送的,任何具有网络流量窃听和跟踪工具的人都可以截
取此口令。
需要考虑的一个主要问题是应在D M Z的一个完全隔离的盒子中运行F T P服务器,还要确
保进入该盒子的口令与进入同一网络中其他机器上的口令要不同。这样,如果一个口令被窃
取,不会影响F T P服务器和网络上的其他机器。这个盒子,与D M Z中的其他盒子一样,与网
络的主机环境不应有或有尽量少的信任关系。
10.9 小结
本章并不涉及设置连接到I n t e r n e t的网络的全部安全性问题,而只是描述了和D N S服务最
有关的问题。下面列出若干和安全性有关的好书,可以参考这些书来实现可提供D N S和其他
服务的安全节点。
112第二部分使用Windows 2000 DNS服务器