ความเสี่ยงในทางปฏิบัติของการเปิดใช้งานการปรับปรุง DNS ที่ไม่ปลอดภัยบน Windows คืออะไร


9

ความเสี่ยงในทางปฏิบัติของการเปิดใช้งานการปรับปรุง DNS ที่ไม่ปลอดภัยบน Windows คืออะไร

เท่าที่ฉันพบการเปิดใช้งานการปรับปรุง DNS ที่ไม่ปลอดภัยนั้นเป็นข้อกำหนดสำหรับการเปิดใช้งานไคลเอนต์ DHCP Linux จากการลงทะเบียนชื่อของพวกเขาด้วย FQDN

ฉันต้องการทราบว่ามีความเสี่ยงในทางปฏิบัติที่เกี่ยวข้องกับเรื่องนี้เพื่อประเมินว่ามันใช้ได้หรือไม่

เท่าที่ฉันรู้ว่าเครื่องจะไม่สามารถครอบครองชื่อสำรองอื่นซึ่งจะเป็นความกังวลจริงเท่านั้นที่ฉันตอนนี้

เห็นได้ชัดว่ามันเป็น DDOS แต่เมื่อพิจารณาว่าเรากำลังพูดถึงอินทราเน็ตที่นี่ฉันสงสัยว่านี่อาจเป็นความเสี่ยงที่แท้จริง

คุณเปิดใช้งานในโดเมนของคุณหรือไม่? คุณเคยต้องปิดการใช้งานเนื่องจากมีปัญหาบางอย่างหรือไม่?


ดีถ้าคุณต้องการให้ใครที่จะสามารถที่จะประกาศชื่อโฮสต์ใด ๆ ที่เป็นของพวกเขา (เช่นกล่องผู้บริโภค DSL) ...
joshudson

คำตอบ:


10

ไม่ปลอดภัย

โดยทั่วไปแล้วคุณไม่ควรอนุญาตการอัพเดทที่ไม่ปลอดภัย โดยส่วนตัวแล้วฉันไม่ชอบเซิร์ฟเวอร์ DNS นั้นอนุญาตให้คุณปิดการปรับปรุงที่ปลอดภัย สิ่งนี้อนุญาตให้ทุกคนในเครือข่ายของคุณ (เช่นแฮ็กเกอร์) ลงทะเบียนระเบียน DNS โดยไม่ต้องมีการตรวจสอบสิทธิ์ Active Directory วิธีนี้จะช่วยให้ผู้โจมตี "ปลอมแปลง" ชื่อ DNS ในเครือข่ายของคุณและเปลี่ยนเส้นทางผู้คนไปยังเซิร์ฟเวอร์อื่นนอกเหนือจากที่พวกเขาคิดว่าพวกเขากำลังจะไป

อีกตัวอย่างของเมื่อการตั้งค่านี้สามารถทำลายวันของคุณโดยไม่ตั้งใจแทนที่จะเป็นอันตราย ... มีคนปิดการปรับปรุงความปลอดภัย ... HP ILOs ทั้งหมด (จากการจัดการย่านความถี่) บนเครื่องทั้งหมดในเครือข่ายสามารถเริ่มลงทะเบียนแบบไดนามิกได้ทันที ระเบียน DNS ของตัวเอง ... แต่ ILO ได้รับการตั้งชื่อเหมือนกับเซิร์ฟเวอร์ดังนั้นพวกเขาจึงเขียนทับระเบียน DNS ของเซิร์ฟเวอร์โฮสต์!

การปิดใช้งานการปรับปรุงความปลอดภัยเป็นความคิดที่แย่มาก ทำไม่ได้

สำหรับวิธีแก้ปัญหาที่เป็นไปได้สำหรับการให้ไคลเอนต์ Linux ของคุณใช้ประโยชน์จาก DHCP เพื่อลงทะเบียนระเบียน DNS อย่างปลอดภัยสิ่งนี้อาจช่วยได้: ลงทะเบียนระเบียน A สำหรับกล่อง Linux ของฉันบนเซิร์ฟเวอร์ DNS / DHCP ของ Windows 2008


ใช่เกิดขึ้นกับฉันเมื่อมีคนเสียบปลั๊กคอมพิวเตอร์ที่มีชื่อเดียวกันกับเซิร์ฟเวอร์และเนื่องจากบรรพบุรุษของฉันปิดการรักษาความปลอดภัยทุกรูปแบบรายการ DNS ของเซิร์ฟเวอร์ถูกแทนที่ด้วยพีซีแบบสุ่มนั้นดังนั้นผู้ใช้ทุกคนจึงขอ เซิร์ฟเวอร์สิ้นสุดบนพีซีเครื่องนั้น !!!
ETL

@ETL บอกว่า "เซิร์ฟเวอร์" นี้น่าจะเป็นออฟไลน์มานานและนั่นเป็นสาเหตุว่าทำไมเครื่องอื่นถึงสามารถใช้ชื่อได้ ฉันสงสัยว่าสิ่งนี้อาจเกิดขึ้นในขณะที่เครื่องทำงาน
sorin

@sorin - เซิร์ฟเวอร์เกิดขึ้นแน่นอน เซิร์ฟเวอร์ linux ถ้าฉันจำได้อย่างถูกต้องรายการ DNS แบบสแตติก (ซึ่งไม่ได้ล็อคไว้เพื่อแก้ไข)
ETL

ฉันกำลังทำงานเกี่ยวกับการใช้โซลูชันจากโพสต์ที่เชื่อมโยงฉันหวังว่ามันจะทำงาน
sorin
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.