Почему нужно отключать небезопасные динамические обновления DNS

Начнем с того, что такое динамическое обновления DNS — это тот случай, когда DNS клиент имеет возможность самостоятельно обновить свою DNS запись на DNS сервере. Это может понадобиться в нескольких случаях, например когда компьютер меняет IP адрес или свое имя. Выполняется динамическое обновление с помощью запроса на обновление со стороны DNS клиента.

Динамическое обновление DNS в Windows Server 2008/12 выставляется на уровне зоны и может принимать три значения:
1) Значение Отключено говорит само за себя.
2) Если вы включаете Только безопасные динамические обновления, то DNS сервер будет выполнять обновление DNS записи только в том случае, если DNS клиент будет иметь на это права. Естественно, для этого он должен быть аутентифицирован и авторизован на DNS сервере, именно поэтому такой вариант динамических обновлений можно выставить только на зонах интегрированных в Active Directory. Такие правила, если не выданы в явном виде, как правило имеет только клиент создававший запись в зоне, что обеспечивает относительную безопасность таких обновлений.
3) Безопасные и небезопасные обновления. Этот вариант представляет собой серьезную угрозу безопасности, ведь при его выборе DNS запись на сервере будет обновляться при поступлении запроса на обновление от любого DNS клиента. А это означает, что даже обычный пользователь, проконсультированный кем надо и имеющий сетевой доступ к вашему DNS серверу, сможет поменять IP в записи, скажем личного платежного кабинета в вашей организации, на IP своей машины, где, скажем, будет крутиться веб сервер с одной страничкой, очень похожей на страничку платежного кабинета. Думаю, о том насколько «сложно» собрать пароли всех пользователей кабинета в этой ситуации, говорить не нужно.

Теперь, поняв что такое небезопасные динамические обновления и как они работают, я думаю, наступило время зайти на DNS сервер вашей организации и отключить их! Однако не забывайте, что возможно их включали не просто так и для каких-то сервисов это может быть критично.

Оставить комментарий