web-dev-qa-db-ja.com

Windowsで安全でないDNS更新を有効にすることの実際的なリスクは何ですか?

Windowsで安全でないDNS更新を有効にすることの実際的なリスクは何ですか?

安全でないDNS更新を有効にすることは、DHCPLinuxクライアントが名前をFQDNに登録できるようにするための要件であることがわかりました。

これらを有効にしてもよいかどうかを評価するために、これに伴う実際的なリスクを知りたいと思います。

私の知る限り、マシンは別の予約名を引き継ぐことができず、それが私が今直面している唯一の本当の懸念事項です。

明らかにそれはDDOSですが、ここでイントラネットについて話していることを考えると、これが本当のリスクになる可能性があるとは思えません。

ドメインで有効になっていますか?問題が発生したために無効にする必要があったことはありますか?

9
sorin

Insecure

基本的に、安全でない更新を許可しないでください。個人的には、DNSサーバーで安全な更新をオフにすることさえできるのは好きではありません。これにより、ネットワーク上の誰でも(ハッカーなど)、ActiveDirectory認証を必要とせずにDNSレコードを登録できます。これにより、攻撃者はネットワーク上のDNS名を「偽装」し、ユーザーが思っていたサーバーとは別のサーバーにリダイレクトすることができます。

この設定が悪意を持ってではなく誤って1日を台無しにする可能性がある別の例...誰かが安全な更新をオフにしました...ネットワーク上のすべてのマシン上のすべてのHPILO(帯域外管理)が突然動的登録を開始できました独自のDNSレコード...しかし、ILOはサーバーと同じ名前が付けられていたため、ホストサーバーのDNSレコードを上書きしました。

安全な更新を無効にするのはひどい考えです。しないでください。

LinuxクライアントにDHCPを利用してDNSレコードを安全に登録させるための可能な解決策については、これが役立つ場合があります。 Windows 2008 DNS/DHCPサーバーにLinuxボックスのAレコードを登録する

10
Ryan Ries