系统安全Windows2000动态DNS安全考虑
2008-02-23 07:08:30来源:互联网 阅读 ()
Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
一、安全动态更新
在动态DNS(DDNS)中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
与客户端相关的有两种DNS记录:A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名。
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录,谁注册了这个记录,谁就对记录拥有所有权。
下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
1.Windows2000本机模式
在Windows2000环境下,DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时,这种Windows2000环境被定义为"本机模式"。
当客户端是一个Windows2000客户时,默认配置是当客户在网络上注册时动态更新它自己的A记录,与此同时,DHCP服务器更新客户的PTR记录。因此,A记录的所有权属于客户端,PTR记录的所有权属于DHCP服务器。
第二种可能的配置是DHCP服务器更新正向和反向查找,在这种情况下,DHCP服务器同时拥有A记录和PTR记录的所有。
第三种可能的配置是DHCP服务器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权。
2.Windows2000混杂模式
在一个混杂模式的环境下,DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
先前的客户端,如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录,在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录,在这种情况下,服务器拥有正向和反向查找记录的所有权。
3.安全动态更新
在Windows2000网络中,只有当活动目录与DNS区域集成时,安全动态更新才可用。安全动态更新意味着什么呢?在Windows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录,除ACL外,动态更新也使用安全通道和认证。
Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "(GSS-TSIG)算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议,GSS-API在RFC2078中有定义。
二、区域
1.区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。
2.区域传输或复制的类型
Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器。
多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。
3.区域传输的安全
如果Windows 2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的。为了与BIND兼容,Windows 2000支持AXFR,每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。
在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密,不需要管理员配置。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
