none
Bezpečnost registrace dns doménových záznamů pomocí klientů

    Dotaz

  • Dobrý den. Nainstaloval jsem v síti windows server jako active domain server a pomocí kerbera ho propojil s existujícími linuxovými dns servery. Zjistil jsem ale, že klienti si chtějí své A záznamy v dns registrovat sami. PTR záznamy registruje dhcp, ale A chtějí klienti. Uvažuju o tom, zda to klientům povolit či ne. Nevíte, nakolik je to bezpečné? Pokud jsem správně pochopil, tak to funguje takto: windows stanice má svůj účet v active directory a od serveru dostane kerberos lístek, tím je zaručeno, že je to opravdu ta konkrétní stanice. Stanice se pak pomocí speciálního doménového účtu "dns" (ten jsem vytvořil pro GSSAPI komunikaci s dns serverem) připojí k dns serveru a přidá svůj A záznam. Na dns serveru mohu povolit přidávání jen vlastních A záznamů (self). Tím by to mělo být teoreticky bezpečné, ale vadí mi, že neznám pořádně vlastní implementaci. Zajímalo by mě hlavně, zdali je toto bezpečné - zda stanice nemůže podvrhnout vlastní název (např. vlivem nějakých virů)? Díky za jakékoliv reakce.
    1. února 2012 15:00

Odpovědi

Všechny reakce

  • Ahoj,

    to co ty uvádíš za řešení, tak rozhodně není nic, co by bylo standardní. Většinou je DNS server na doménovém serveru. Co tě vedlo k tomu to tak nemít?

    V DNS serveru na Windows Serveru jsou zóny integrované s Active Directory nastavené tak, aby přijímaly aktualizace jen od ověřených PC. Tedy od těch, co mají účet v Active Directory.

    Jinak je to naprosto standardní postup, že si stanice registrují svůj název v DNS. Nedokážu si pak moc dobře představit kdo by to dělal za ně..navíc, když používáš DHCP.


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration | Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs | Windows 7 and Office 2010, Deployment | Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf | Windows Server 2008 Network Infrastructure, Conf | Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization | Windows Server Virtualization, Configuration | Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring | Windows EBS 2008, Configuration | Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development | Windows Internals | MDOP, Configuration | SharePoint 2010, Configuration
    Microsoft SCOM, Configuration | Microsoft SCDPM 2007, Configuration | Microsoft SCVMM 2008, Configuration

    1. února 2012 15:13
  • No standardně si A i PTR záznamy může registrovat dhcp server, ale záleží na tom, jak se dohodne klient s dhcp serverem. DNS servery už mám nakonfigurované pro několik externích a pro různé interní zóny, aby vracel konkrétní i různé záznamy. Je to docela složitá konfigurace a bylo by problém (mimo bezpečnostní dopady) to dávat na windows server. Podle toho co jsem pochopil by i moje řešení přijímalo jen od ověřených stanic, ale jde o to co je ověřená stanice a jestli se s tím nedá manipulovat. To je to co nevím z důvodu nenalezení dokumentace - nevím jak je to implementováno.
    1. února 2012 16:01
  • I stanice ma svuj ucet v AD a autentikuje se.

    Osobne bych ale dynamickou registraci outsourcoval na DHCPko

    MP

    1. února 2012 16:09
    Moderátor
  • Tak to mám teď, problém je to, že dhcp mohu nastavit buď tak, aby ignoroval fakt, že si stanice nepřeje registraci prostřednictvím dhcp a potom dhcp by registroval záznam sám - jenomže musím pevně nastavit s jakým doménovým jménem - tím pádem se bude registrovat ve stejné poddoméně jakou mají i stanice, které nejsou v doméně nebo které nejsou ani windows. O co vlastně přicházím pokud si stanice neregistrují svoje dns? O seznam "okolních počítačů/místa v síti", na které přímo nevidí (a tudíš nefunguje broadcast)?
    1. února 2012 16:16
  • IMHO DNSka na Linuxe pre AD domenu nie je vhodne, pretoze treba riesit viacej problemov s tym. Ja osobne vzdy premigrujem DNSka na Windows a Linux spravim ako zalozne, alebo ich vobec nepouzijem.

     


    ---------- Ondrej Zilinec - Cievo ----------
    2. února 2012 11:44
  • To je dost neflexibilní a poměrně nebezpečné řešení v případě veřejných dns. V internetu by dns servery měly být samostané stroje (alespoň virtuální). V případě napadení dns se pak útočník nedostane ke kriticky důležitým datům. Zrovna dns server je něco co je děravé jak řešeto (jak bind v linuxu, tak windows dns server).
    2. února 2012 21:59
  • No, ale Active Directory DNS by nemali mat nic spolocne s DNSkami vycapenymi do Internetu predsa. To su dva odslisne svety. Active Directory je pre vnutorne pouzitie a vonkajsie DNS maju byt v DMZ, ci?

     


    ---------- Ondrej Zilinec - Cievo ----------
    3. února 2012 9:16
  • Ano, i tak by to šlo řešit, já používám pro vnitřní i vnější síť stejné DNS servery umístěné v DMZ. Bezpečnost řeším na úrovní konfigurace dns a firewallu.
    3. února 2012 14:43
  • Tak pouzivat jedny DNSy pre interne aj externe DNS nie je moc bezpecne. A ked ti niekto hackne tie v DMZke, tak potom ma pristup aj ku tym internym, ci? Podla mna by si si to mal oddelit a vnutorne prevadzkovat na Windowsoch.

     


    ---------- Ondrej Zilinec - Cievo ----------
    6. února 2012 7:32
  • Také bych to tak udělal. Jak jsi se nakonec rozhodnul?
    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    9. února 2012 21:50