5.4 DNS事務安全指南

5.4 DNS事務安全指南

5.4.1　概述

DNS事務主要包括DNS查詢/響應、區傳送、動態更新和DNS通知報文。DNS事務安全保護方法如表1所示。

5.4.2　DNS事務安全指南

5.4.2.1　概述

本節介紹DNS事務保護方法的最佳實踐。內容如下：
a) 通過IP地址限制保護DNS事務；
b) 通過散列消息認證碼保護DNS事務(即TSIG規范)；

5.4.2.2　通過IP地址限制保護DNS事務

5.4.2.2.1　概述

部分DNS軟件提供了訪問控制聲明，可通過聲明中的IP地址或IP子網掩碼（稱為IP前綴）指定并識別參與DNS事務的主機，從而可通過創建可信主機列表保護DNS事務。

5.4.2.2.2　限制DNS查詢/響應

ACLs是限制DNS事務的關鍵元素，它可以替代訪問控制聲明中的IP地址列表和IP前綴列表，通過定義并創建ACLs限制DNS查詢/相應。
在DNS查詢/響應中，ACLs中包含的主機類別包括：
a) DMZ主機；
b) 所有允許發起區傳送的輔域名服務器；

5.4.2.2.3　限制區傳送

在區傳送事務中，權威域名服務器(特別是主域名服務器)對訪問控制聲明進行配置，指定參與區傳送的主機列表。其中，來自主域名服務器的區傳送僅限于輔域名服務器，在輔助域名服務器中區傳送被完全禁用，訪問控制聲明的地址匹配列表值由輔域名服務器和隱藏輔域名服務器的IP地址組成。

5.4.2.2.4　限制動態更新

在動態更新事務中，通過如下聲明限制動態更新。

5.4.2.2.5　限制DNS通知報文

主輔域名服務器間啟動區傳送后，通過DNS通知報文告知輔助域名服務器區文件數據的變更。

5.4.2.3　通過散列消息認證碼保護DNS事務（TSIG規范）

5.4.2.3.1　概述

通過散列消息認證碼（HMAC）保護DNS事務即TSIG規范主要通過驗證消息來源和完整性來保護DNS事務：首先將DNS消息發送方生成的HASH值放置到TSIG記錄中；然后進行驗證流程，即接收者通過密鑰，生成接收DNS消息的HASH值，并與接收到的HASH值進行比較。
通過HMAC使用共享密鑰保護DNS事務并不是可擴展的解決方案，TSIG規范僅在區傳送事務和動態更新事務中廣泛應用。
為保證TSIG正常工作，實施TSIG規范的域名服務系統必須配置時間服務器，通過NTP進行時間同步。
DNS使用TSIG需如下操作：
a) 生成所需長度的密鑰；
為每一對主輔域名服務器生成單獨的TSIG密鑰，此密鑰被用于確保區傳送、動態更新等事務安全。
TSIG密鑰算法、密鑰長度、密鑰生成相關要求符合YD/T 2140-2010的要求。
b) 密鑰文件訪問及傳遞；
每一個TSIG密鑰有一個獨立的密鑰文件，對密鑰文件訪問受到限制；
密鑰文件需安全傳遞到與生成密鑰的域名服務器進行通信的域名服務器；
c) 密鑰確定及使用
在進行通信的域名服務器的配置文件中確定生成的密鑰，用于請求信息和事務信息的簽名以保證通信安全。

5.4.2.3.2　使用TSIG保護區傳送

區傳送事務中通信服務器雙方（主域名服務器和輔域名服務器）使用生成的TSIG密鑰。配置主域名服務器僅接收與區傳送請求一起的、來自輔域名服務器的區傳送請求。

5.4.2.3.3　使用TSIG保護動態更新

設定基于TSIG動態更新限制，僅對擁有TSIG密鑰的主機允許接收動態更新請求，同時，先使用DNS公鑰對動態更新消息進行驗證，后再處理動態更新請求。