Win 2K動(dòng)態(tài)DNS的安全考慮_Dns服務(wù)器教程
教程Tag:暫無(wú)Tag,歡迎添加,賺取U幣!
Windows2000 域名解析是基于動(dòng)態(tài)DNS,動(dòng)態(tài)DNS的實(shí)現(xiàn)是基于RFC 2136基礎(chǔ)上的。在Windows 2000下,動(dòng)態(tài)DNS是與DHCP、WINS及活動(dòng)目錄(AD)集成在一起的。在windows 2000的域下有三種實(shí)現(xiàn)DNS的方法:與活動(dòng)目錄集成、與活動(dòng)目錄集成的主DNS及不與活動(dòng)目錄集成的輔助DNS、不與活動(dòng)目錄集成的主DNS及不與活動(dòng)目錄集成的輔助DNS。當(dāng)DNS完成集成到活動(dòng)目錄中后,我們可以利用Windows2000網(wǎng)絡(luò)中的三個(gè)重要安全特性:安全動(dòng)態(tài)更新、安全區(qū)域傳輸、對(duì)區(qū)域和資源記錄的訪問(wèn)控制列表。
一、安全動(dòng)態(tài)更新
在動(dòng)態(tài)DNS(DDNS)中一個(gè)最重要的安全特性就是安全更新。在實(shí)現(xiàn)安全更新時(shí)一個(gè)主要的考慮是DNS項(xiàng)組成的記錄的所有權(quán)。所有權(quán)是由DHCP的配置及對(duì)客戶(hù)端的支持來(lái)決定的。
與客戶(hù)端相關(guān)的有兩種DNS記錄:A記錄和PTR記錄,A記錄解析名字到地址,而PTR記錄解析地址到名字。地址是指一個(gè)客戶(hù)端的IP地址,名字是指一個(gè)客戶(hù)的完全合格域名,應(yīng)該是計(jì)算機(jī)名加上網(wǎng)絡(luò)的域名。
在windows 2000環(huán)境中,當(dāng)客戶(hù)端通過(guò)DHCP請(qǐng)求一個(gè)IP時(shí),客戶(hù)端DNS記錄就被注冊(cè)。根據(jù)設(shè)置,客戶(hù)端、DHCP服務(wù)器或者兩者都可以更新客戶(hù)的A記錄和PTR記錄,誰(shuí)注冊(cè)了這個(gè)記錄,誰(shuí)就對(duì)記錄擁有所有權(quán)。
下面是在Windows2000網(wǎng)絡(luò)中定義客戶(hù)的A記錄和PTR記錄所有權(quán)的可選項(xiàng)。
1.Windows2000本機(jī)模式
在Windows2000環(huán)境下,DHCP服務(wù)器和DHCP客戶(hù)端都可以通過(guò)DNS注冊(cè)記錄。當(dāng)網(wǎng)絡(luò)僅由Windows2000的服務(wù)器和客戶(hù)端組成時(shí),這種Windows2000環(huán)境被定義為"本機(jī)模式"。
當(dāng)客戶(hù)端是一個(gè)Windows2000客戶(hù)時(shí),默認(rèn)配置是當(dāng)客戶(hù)在網(wǎng)絡(luò)上注冊(cè)時(shí)動(dòng)態(tài)更新它自己的A記錄,與此同時(shí),DHCP服務(wù)器更新客戶(hù)的PTR記錄。因此,A記錄的所有權(quán)屬于客戶(hù)端,PTR記錄的所有權(quán)屬于DHCP服務(wù)器。
第二種可能的配置是DHCP服務(wù)器更新正向和反向查找,在這種情況下,DHCP服務(wù)器同時(shí)擁有A記錄和PTR記錄的所有。
第三種可能的配置是DHCP服務(wù)器被配置為不執(zhí)行動(dòng)態(tài)更新,在這種情況下,客戶(hù)端將更新A記錄和PTR記錄,同時(shí)也就擁有記錄的所有權(quán)。
2.Windows2000混雜模式
在一個(gè)混雜模式的環(huán)境下,DHCP客戶(hù)端不能在DNS下注冊(cè)。所謂混雜模式即網(wǎng)絡(luò)除Windows2000服務(wù)器、客戶(hù)端外同時(shí)存在有WindowsNT4.0或Windows98客戶(hù)。
先前的客戶(hù)端,如WindowsNT4.0和Windows9x不能直接通過(guò)DNS注冊(cè)。因?yàn)橹挥蠨HCP服務(wù)器可以通過(guò)DNS注冊(cè)記錄,在混雜環(huán)境中唯一的選擇是讓DHCP服務(wù)器注冊(cè)A記錄和PTR記錄,在這種情況下,服務(wù)器擁有正向和反向查找記錄的所有權(quán)。
3.安全動(dòng)態(tài)更新
在Windows2000網(wǎng)絡(luò)中,只有當(dāng)活動(dòng)目錄與DNS區(qū)域集成時(shí),安全動(dòng)態(tài)更新才可用。安全動(dòng)態(tài)更新意味著什么呢?在Windows2000中,它意味著用活動(dòng)目錄的ACL制定用戶(hù)和組的權(quán)限來(lái)修改DNS區(qū)域和/或它的資源記錄。為允許更新DNS區(qū)域和/或它的資源記錄,除ACL外,動(dòng)態(tài)更新也使用安全通道和認(rèn)證。
Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "(GSS-TSIG)算法進(jìn)行安全動(dòng)態(tài)更新。這個(gè)算法使用 Kerberos v5 作為優(yōu)先的認(rèn)證協(xié)議,GSS-API在RFC2078中有定義。
一、安全動(dòng)態(tài)更新
在動(dòng)態(tài)DNS(DDNS)中一個(gè)最重要的安全特性就是安全更新。在實(shí)現(xiàn)安全更新時(shí)一個(gè)主要的考慮是DNS項(xiàng)組成的記錄的所有權(quán)。所有權(quán)是由DHCP的配置及對(duì)客戶(hù)端的支持來(lái)決定的。
與客戶(hù)端相關(guān)的有兩種DNS記錄:A記錄和PTR記錄,A記錄解析名字到地址,而PTR記錄解析地址到名字。地址是指一個(gè)客戶(hù)端的IP地址,名字是指一個(gè)客戶(hù)的完全合格域名,應(yīng)該是計(jì)算機(jī)名加上網(wǎng)絡(luò)的域名。
在windows 2000環(huán)境中,當(dāng)客戶(hù)端通過(guò)DHCP請(qǐng)求一個(gè)IP時(shí),客戶(hù)端DNS記錄就被注冊(cè)。根據(jù)設(shè)置,客戶(hù)端、DHCP服務(wù)器或者兩者都可以更新客戶(hù)的A記錄和PTR記錄,誰(shuí)注冊(cè)了這個(gè)記錄,誰(shuí)就對(duì)記錄擁有所有權(quán)。
下面是在Windows2000網(wǎng)絡(luò)中定義客戶(hù)的A記錄和PTR記錄所有權(quán)的可選項(xiàng)。
1.Windows2000本機(jī)模式
在Windows2000環(huán)境下,DHCP服務(wù)器和DHCP客戶(hù)端都可以通過(guò)DNS注冊(cè)記錄。當(dāng)網(wǎng)絡(luò)僅由Windows2000的服務(wù)器和客戶(hù)端組成時(shí),這種Windows2000環(huán)境被定義為"本機(jī)模式"。
當(dāng)客戶(hù)端是一個(gè)Windows2000客戶(hù)時(shí),默認(rèn)配置是當(dāng)客戶(hù)在網(wǎng)絡(luò)上注冊(cè)時(shí)動(dòng)態(tài)更新它自己的A記錄,與此同時(shí),DHCP服務(wù)器更新客戶(hù)的PTR記錄。因此,A記錄的所有權(quán)屬于客戶(hù)端,PTR記錄的所有權(quán)屬于DHCP服務(wù)器。
第二種可能的配置是DHCP服務(wù)器更新正向和反向查找,在這種情況下,DHCP服務(wù)器同時(shí)擁有A記錄和PTR記錄的所有。
第三種可能的配置是DHCP服務(wù)器被配置為不執(zhí)行動(dòng)態(tài)更新,在這種情況下,客戶(hù)端將更新A記錄和PTR記錄,同時(shí)也就擁有記錄的所有權(quán)。
2.Windows2000混雜模式
在一個(gè)混雜模式的環(huán)境下,DHCP客戶(hù)端不能在DNS下注冊(cè)。所謂混雜模式即網(wǎng)絡(luò)除Windows2000服務(wù)器、客戶(hù)端外同時(shí)存在有WindowsNT4.0或Windows98客戶(hù)。
先前的客戶(hù)端,如WindowsNT4.0和Windows9x不能直接通過(guò)DNS注冊(cè)。因?yàn)橹挥蠨HCP服務(wù)器可以通過(guò)DNS注冊(cè)記錄,在混雜環(huán)境中唯一的選擇是讓DHCP服務(wù)器注冊(cè)A記錄和PTR記錄,在這種情況下,服務(wù)器擁有正向和反向查找記錄的所有權(quán)。
3.安全動(dòng)態(tài)更新
在Windows2000網(wǎng)絡(luò)中,只有當(dāng)活動(dòng)目錄與DNS區(qū)域集成時(shí),安全動(dòng)態(tài)更新才可用。安全動(dòng)態(tài)更新意味著什么呢?在Windows2000中,它意味著用活動(dòng)目錄的ACL制定用戶(hù)和組的權(quán)限來(lái)修改DNS區(qū)域和/或它的資源記錄。為允許更新DNS區(qū)域和/或它的資源記錄,除ACL外,動(dòng)態(tài)更新也使用安全通道和認(rèn)證。
Windows2000支持使用IETF草擬的"GSS Algorithm for TSIG "(GSS-TSIG)算法進(jìn)行安全動(dòng)態(tài)更新。這個(gè)算法使用 Kerberos v5 作為優(yōu)先的認(rèn)證協(xié)議,GSS-API在RFC2078中有定義。
相關(guān)Dns服務(wù)器教程:
- 相關(guān)鏈接:
- 教程說(shuō)明:
Dns服務(wù)器教程-Win 2K動(dòng)態(tài)DNS的安全考慮
。