使用DNSSec實現(xiàn)域名安全解析

DNS服務(wù)暗藏的危機

除了直接篡改DNS服務(wù)器之間傳輸?shù)臄?shù)據(jù)外，黑客還可能通過各種手段入侵正常的DNS服務(wù)器，將虛假的域名解析信息直接存儲到該機的緩存區(qū)域，來蒙騙合法的客戶端用戶。因為搭建一臺DNS服務(wù)器并非難事，黑客完全可以自建一臺看似正常的DNS服務(wù)器，并向其他的DNS服務(wù)器發(fā)起域名查詢操作，來誘使其獲取該虛假DNS服務(wù)器所管控的網(wǎng)絡(luò)區(qū)域內(nèi)的記錄信息。

當別的DNS服務(wù)器向該虛假DNS服務(wù)器發(fā)出查詢請求時，得到的卻是黑客精心預(yù)設(shè)的虛假IP等惡意信息。當客戶端查詢相應(yīng)的域名時，自然會落入黑客設(shè)置的陷阱之中。

DNSSec的功能和特點

使用DNSSec技術(shù)，通過數(shù)字簽名和加密密鑰，對DNS服務(wù)器之間的通訊數(shù)據(jù)進行加密，保證彼此傳輸?shù)男畔⑹钦鎸嵉奈幢粣阂獯鄹牡摹?/p>

例如，當某臺未經(jīng)授權(quán)的DNS服務(wù)器向某臺經(jīng)過授權(quán)的DNS服務(wù)器查詢域名信息時，得到的域名解析信息經(jīng)過加密后傳回給前者。該DNS服務(wù)器經(jīng)過檢測無誤后，才將其發(fā)送給客戶端，并將這些信息存儲在本機的緩存區(qū)域中。要想實現(xiàn)上述功能，授權(quán)DNS服務(wù)器必須對自身DNS區(qū)域進行簽名處理，這樣系統(tǒng)就會針對DNS存儲區(qū)域內(nèi)的每一條資源記錄信息，創(chuàng)建對應(yīng)的資源記錄簽名信息。授權(quán)DNS服務(wù)器會將所需的資源記錄信息及與之對應(yīng)的簽名信息一并發(fā)送出。

當非授權(quán)的DNS接收后，通過使用授權(quán)DNS服務(wù)器的公鑰信息以及資源記錄簽名信息，就可以準確檢測該域解析信息是否被篡改過。同時，為了檢測不存在的空資源記錄信息，系統(tǒng)該會將DNS區(qū)域中的所有記錄進行排序操作，針對每一條資源記錄創(chuàng)建對應(yīng)的經(jīng)過簽名的NSec（即Next Secure）記錄項目，每一條NSec記錄不僅包含對應(yīng)的正常資源記錄位置信息，還包括下一條正常資源記錄位置信息。這樣，利用這些NSec記錄就可以將DNS區(qū)域中的正常資源記錄信息有機的連接在一起。

當某個DNS服務(wù)器向該授權(quán)的DNS服務(wù)器提交的域名信息時，該DNS服務(wù)器根據(jù)資源記錄排序信息，不僅可以返回記錄為空的信息，而且根據(jù)與上一條資源記錄相關(guān)的NSec記錄，將下一個存在的域名信息一并發(fā)送過去，讓非授權(quán)的DNS服務(wù)器明了其提交的域名確實不存在。當然，為了防止黑客惡意利用NSec特性來非法獲取授權(quán)DNS服務(wù)器中的所有資源記錄信息，在Windows Server 2012中內(nèi)置了更高版本的NSec技術(shù)，來破解黑客的圖謀。

配置和管理DNSSec

例如，在域中存在兩臺DNS服務(wù)器，其名稱為DNS1和DNS2，DNS1扮演非授權(quán)DNS服務(wù)器角色，DNS2扮演授權(quán)DNS服務(wù)器角色，其上安裝的都是Windows Server 2012。在DNS2上打開DNS管理器，在左側(cè)選擇“正向查找區(qū)域”項，在其右鍵菜單上點擊“新建區(qū)域”項，在向?qū)Ы缑嬷羞x擇“主要區(qū)域”項，在下一步窗口中選擇“至此域中控制器上運行的所有DNS服務(wù)器”項，點擊“下一步”按鈕，輸入?yún)^(qū)域名稱（例如“xxx.cn”），其余設(shè)置均保持默認，點擊“完成”按鈕創(chuàng)建該區(qū)域。

之后選中該區(qū)域，在其右鍵菜單上點擊“新建主機（A 或 AAAA）”、“新建 別名（CNAME）”、“新建郵件交換器（MX）”等項目，來創(chuàng)建所需的資源記錄項目。例如創(chuàng)建名稱 為“client1pc”，F(xiàn)QDN名為“client1pc.xxx.cn”，IP為“172.16.0.100”的資源記錄項目。當DNS1接收到客戶端的查詢請求后，如果查詢的不在其管轄的網(wǎng)絡(luò)區(qū)域內(nèi)，或者不在其緩存中存儲的話，則DNS1服務(wù)器會將該請求轉(zhuǎn)發(fā)給DNS2服務(wù)器，之后將獲得的查詢信息發(fā)送給客戶端。

因此，需要在DNS1的管理器中選擇DNS1服務(wù)器，在其屬性窗口中的“轉(zhuǎn)發(fā)器”面板中點擊“編輯”按鈕，輸入DNS2的IP地址。這樣，就可以通過DNS2服務(wù)器轉(zhuǎn)發(fā)數(shù)據(jù)了。在客戶機上打開PowerShell窗口，執(zhí) 行“resole-dnsname clientpc1.xxx.cn -Server dns1 -dnssecok”命令，可以向DNS1服務(wù)器發(fā)送解析請求，DNS1將解析“clientpc1.xxx.cn”域名的請求信息轉(zhuǎn)發(fā)給了DNS2，由DNS2進行正確解析后，經(jīng)由DNS1的傳送，客戶端獲得了正確的IP信息。在DNS2服務(wù)器上打開DNS管理器，在左側(cè)選擇“正向查找區(qū)域”→“xxx.cn”項，在其右鍵菜單上點擊“對區(qū)域進行簽名”項，在向?qū)Ы缑嬷羞x擇“使用默認設(shè)置對區(qū)域簽名”項，點擊“下一步”按鈕執(zhí)行簽名處理。

完成后在工具欄上點擊“刷新”按鈕，對該區(qū)域資源記錄列表中進行整理操作。在列表的“類型”列中會出現(xiàn)一些新的記錄項目類型，包括RR簽名、DNS密鑰、NSec3（下一個安全參數(shù)）等。其中的“DNS密鑰”類型的項目包含該區(qū)域公鑰信息。只有將這些信息導(dǎo)入到DNS1中，DNS1才可以信任該密鑰并對傳輸?shù)男畔⑦M行安全認證。在DNS2上打開“C:WindowsSystem32dns”目錄，在其中可以顯示所有和DNS設(shè)置相關(guān)的文件，上述公鑰信息自然保存在其中。為了便于操作，可以將上述目錄設(shè)置為共享狀態(tài)（例如共享名為“ymfw”），允許DNS1訪問，也可以將其中的“keyset-xxx.cn”附件復(fù)制出來，存放到DNS1可以訪問到的位置。

在DNS1上打開DNS管理器，在左側(cè)選擇“信任點”項，在其右鍵菜單上點擊“導(dǎo)入”→“DNSKEY”項，在彈出窗口中輸入“\dns2ymfwkeyset-xxx.cn”， 或者點擊“瀏覽”按鈕，直接選擇復(fù)制過來的上述文件。在PowerShell窗口中執(zhí)行“get-dnsservertrustanchor xxx.cn”命令，也可以查看DNSKEY信任點信息。在其中的“TrustAnchorState” 列中必須顯示為“Valid”，才表示有效。在客戶端也可以執(zhí)行“resolve-dnsname -name xxx.cn.trustanchors -type dnskey -Server dns1”命令來顯示DNS1擁有的DNSKEY信任點信息。為避免出現(xiàn)錯誤，可以在DNS1上執(zhí)行“firewall.cpl”命 令，將Windows防火墻暫時關(guān)閉，避免出現(xiàn)網(wǎng)絡(luò)連接受阻。

配置域名安全解析策略

在客戶機上打開Power Shell窗口，執(zhí)行“resolednsname clientpc1.xxx.cn-Server dns1 -dnssecok”命令，向DNS1服務(wù)器發(fā)送解析請求，其中的“-dnssecok”參數(shù)表示讓DNS1服務(wù)器將和DNSSec相關(guān)的記錄傳送回來。返回信息不僅可以顯示解析的IP地址，還會顯示詳細的簽名信息。

為了進一步提高域名解析安全性，必須讓DNS1驗證從DNS2接收的資源記錄信息合法性。在客戶機上執(zhí)行“gpdit.msc”程序，在組策略窗口左側(cè)選擇“計算機配置”→“Windows設(shè)置”→“域名解析策略”項，在右側(cè)窗口中的“創(chuàng)建規(guī)則”列表中選擇“后綴”項，輸入簽名的DNS區(qū)域名，這里為“xxx.cn”。選擇“啟用此規(guī)則中的DNSSEC”和“要求DNS客戶端檢查名稱和地址數(shù)據(jù)是否已經(jīng)由DNS服務(wù)器驗證”項，點擊“創(chuàng)建”按鈕，在“名稱解析策略表”中顯示上述策略，點擊“應(yīng)用”按鈕，使該策略生效。

之后在PowerShell窗口中執(zhí)行“gpupdate /force”命令，來刷新組策略。執(zhí)行“get-dnsclientnrptpolicy”命令，在返回信息中的“DnsSecValidation Required”欄中如果顯示為“True”，表示上述策略已經(jīng)激活。這樣，當客戶端向DNS1提交域名解析請求后，DNS1會項DNS2轉(zhuǎn)發(fā)該請求，當DNS1接收到DNS2發(fā)揮的域名解析信息后，會對其安全性進行驗證，當驗證通過確認沒有被非法篡改后，才將其發(fā)送給客戶端。如果DNS1上的DNSKEY信任點信息出現(xiàn)受損、丟失、被破壞等情況后，則DNS1服務(wù)器就無法信任DNS2發(fā)送 來 的“xxx.cn”區(qū) 域 的DNSKEY密鑰，自然無法驗證域名解析信息的完整性，對客戶端也無法提供可靠的解析信息。此刻在客戶端上執(zhí)行“ipconfig /flushdns”命令，清除DNS緩存信息。再“執(zhí) 行“resole-dnsname clientpc1.xxx.cn -Server dns1 -dnssecok”命令”命令，會發(fā)現(xiàn)無法獲取所需的IP信息，同時還會出現(xiàn)DNS數(shù)據(jù)包不安全的警告信息。