在 Windows2000 环境下实现动态 DNS 的安全考虑
Windows2000 域名解析是基于动态DNS(Dynamic DNS)的。微软是基于RFC 2136实现动态DNS的。这关系到 BIND v8 和 v9。BIND v9 在由O’Reilly出版的Paul Albitz 和 Cricket Liu 撰写的第四版《DNS and BIND》里面有所阐述。
在 Windows 2000 里,动态 DNS 是与 DHCP, WINS 和动态目录(Active Directory) 集成并且相关的。在 Windows 2000的域中有三种方法实现 DNS:动态目录集成、动态目录的主要DNS和非动态目录的辅助DNS、非动态目录的主DNS和非动态目录的辅助DNS。当 DNS 完全集成到动态目录中时,我们可以在一个 Windows 2000 网络中利用三种安全特性:安全动态更新、安全区域传输和对区域与资源记录的访问控制列表。 1.0 安全动态更新 在动态DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在实现安全更新特性中需主要考虑的,是由DNS条目组成记录的所有权。DHCP是怎么样配置的和支持哪个客户端决定了所有权。 两种DNS资源记录关系到每一个客户端:A记录和PTR记录。A记录负责从名字解析到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址。名字是指一个客户机完整的、有资格的域名。这应该是计算机名加上网络的域名。 在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者这两者都可以更新A和PTR记录来关联到客户端。这些记录的所有权依据谁注册了这个记录。 这就是在Windows 2000网络中定义 A 和 PTR 记录所有权的选择。 1.1 Windows 2000 本机模式(Native Mode) 在Windows 2000环境下,DHCP 服务器和 DHCP 客户端都可以通过 DNS 注册记录。当网络单纯由 Windows 2000 的服务器和客户端组成时,这种 Windows 2000 环境称之为"本机模式"(Native Mode)。 当客户端是一个 Windows 2000 客户端,这个客户端的默认配置是在注册到网络过程中动态更新它自己的 A 记录。与此同时,DHCP 服务器更新客户端的 PTR 记录。所以,A 记录的所有权属于这个客户端,PTR 记录的所有权属于 DHCP 服务器。 第二种可能的配置是 DHCP 服务器总是更新正向和反向的查找。在这种情况下,DHCP 服务器分别拥有A和PTR记录。 第三种可能的配置是 DHCP 服务器被配置为不能执行动态更新。在这种情况下,客户端把会更新 A 记录和 PTR 记录,因此拥有这些记录。 1.2 Windows 2000 混杂模式(Mixed Mode) 在混杂的环境下,DHCP 客户端不能通过 DNS 注册。当网络由 Windows 2000 服务器、客户端除了 Windows 2000 之外还由 Windows NT 4.0 或 Windows 98 组成时,这种混杂环境被称为"混杂模式"。 以前的客户端,像 Windows NT 4.0 和 Windows 9x,不能直接通过 DNS 注册。因为只有 DHCP 服务器可以通过 DNS 注册记录,再混杂环境中唯一的选择是让 DHCP 注册 A 和 PTR 记录。在这种情况下,这个服务器拥有正向和反向查找的记录。 1.3 安全动态更新 在 Windows 2000 网络中,安全动态更新是唯一可以用于与动态目录集成的 DNS 区域。所以安全动态更新意味着什么?在 Windows 2000 中,它意味着是用动态目录 ACL 制定用户和组的权限来修改 DNS 区域和/或它的资源记录。除了使用 ACL 外,安全更新为了允许更新 DNS 区域和/或它的资源记录,也使用安全通道和认证。 微软 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定义的运算法则进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议。GSS-API 在 RFC 2078 中有定义。 2.0 区域 2.1 区域的类型 Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。 主要和辅助区域象在 Unix 环境和 NT 4.0 环境一样运作。另外数据库保持与其它数据库象 WINS 和 DHCP 数据库分开,并且复制也是分别从其它复制服务中设置。如果网络中任何服务器运行着一个 BIND 版本低于 8.1.2,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。 如果安装了活动目录,DNS 区域可以成为活动目录集成区域。这意味着 DNS 区域数据库成为活动目录数据库的一部分。每一个记录成为活动目录对象。每一个活动目录对象拥有它自己的ACL(访问控制列表)。 2.2 区域传输或复制的类型 Windows 2000 DNS 可以支持 AXFR 或 IXFR。AXFR,或者所有的区域传输,是复制整个区域数据库文件。IXFR,或者增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置成主要/辅助区域,那么可以应用这些区域复制方法。在版本8.2.1以及以上的 BIND 中支持IXFR。 当 DNS 域活动目录集成时,所有的区域和资源记录把成为活动目录数据库中的对象。活动目录的复制是基于多主模型(multi-master model)的。 多主模型的好处之一是没有单点失败的问题。这是可能的,因为包含 DNS 部分的活动目录数据库会被复制到所有域控制器上。因此 DNS 区域传输完全成为活动目录复制的一部分。 2.3 区域传输的安全 如果 Windows 2000 网络运行着主要/辅助区域配置的 DNS,是不可以使用加密和压缩的。为了兼容 BIND,Windows 2000 支持 AXFR 每个消息发送/接受一个或多个资源记录。BIND 在 4.9.4 以前的版本不支持每个消息传送多条资源记录。Windows 2000 支持 IXFR。相应的 BIND 版本是 8.2.1。Windows 2000 支持 DNS 通报(DNS Notify),相应的 BIND 版本是8.1.2。 当 Windows 2000 DNS 配置为活动目录集成时,复制处理成为活动目录复制的一部分,因此把会自动使用加密和压缩。 加密使用的是微软 Windows 2000 Kerberos v5。与控制器之间的通讯通道会自动加密。不需要管理配置。 当活动目录更新在"桥头堡"(Bridgehead)服务器间传输时,会自动使用压缩。桥头堡服务器是从局域网其他服务器中自动选择的服务器。当广域网链路需要使用活动目录更新时,每个局域网的桥头堡服务器会与其它桥头堡服务器通讯。这会大量减少通过 WAN 链路德里流量。在这种情况下,为了节约带宽会自动使用压缩。 上一篇: win2k的日志文件详述及删除方法 下一篇: 教你配置安全的Windows 2000(高级安全篇) 更多相关文章
|
推荐文章
精彩文章
|
