ویژگی های جدید DNS

Microsoft DNS Server با آنکه با RFC های مرتبط به DNS که توسط Internet Engineering Task Force یا به اختصار IETF منتشر شده است، سازگار است دارای ویژگی های منحصر به فردی برای سرویس های NOS یا Network Operationg Syste مخصوص مایکروسافت است که تحت AD DS فعال می گردند. همانطور که می دانید، در یک Active Directory integrated Zone محل ذخیره سازی اطلاعات حتی تغییر می کند و قابلیت Secure DDNS در دسترس قرار می گیرد. جهت پشتیبانی از RODC ها، یک نسخه Primary فقط خواندنی طراحی شده که روی RODC ها قرار گیرد.

در +Windows Server 2008 R2 قابلیت background zone loading اضافه شده است که این ویژگی سبب می شود سرعت boot شدن سرور افزایش یابد. پیش از شروع سرویس دهی DNS Server نیاز است تمام رکورد ها load شوند. اگر یک سرور دارای Zone های متعدد با تعداد رکورد های بالایی باشد، زمان لازم قابل توجه خواهد بود. در یک گام برای حذف WINS Server از شبکه ها ویژگی جدید GNZ به DNS اضافه شده است تا بتواند از اسامی تک سیلابی پشتیبانی کند.

جهت افزایش محافظت در برابر Spoofing سرویس DNS از قابلیت Global Query Block List بهره می برد. توسط این قابلیت جدید، زمانی که کلاینت ها از پروتکل هایی همانند Web Proxy Automatic Discovery یا WPAD یا Intra-site Automatic Tunnel Addressing Protocol یا به اختصار ISATAP  و از DNS جهت Resolve کردن اسامی استفاده می کنند می تواند برای کاربرانی که از قابلیت Dynamic Update بهره می برند مخاطره انگیز باشد.

DNS Security Extensions

DNS یک سرویس حیاتی برای زیرساخت شبکه ها به شمار می آید و امنیت آن بسیار اهمیت دارد. همه عمیقا بر این باورد هستند که ارتباطات DNS لازم است امن گردد با وجود تلاش های بسیار، به دلیل موانع متعدد پیاده سازی های یک DNS امن به اندازه کافی موفق نبوده است. DNS به خودی خود، هیچ قابلیت امنیتی را فراهم نمی آورد و در برابر حملاتی همچون Spoofing، Man In the Middle و Cache Poisoning ضعیف است. DNS Security Extensions یا به اختصار DNSSEC در RFC 2535 معین گردیده است و با استفاده از Public Key infrastructure و امضای دیجیتال ارتباطات DNS امن می گردند. Windows Server 2008 R2 از DNSSEC برای هر دو نوع Active Directory integrated Zone و File-backed Zone پشتیبانی به عمل می آورد. اگر DNSSEC روی Active Directory Integrated Zone فعال گردد، امکان Dynamic Update دیگر در دسترس نخواهد بود و از آن پس نیاز به Manual Update خواهد بود.

تمام پاسخ ها به Query ها در DNSSEC دارای امضای دیجیتال هستند بنابراین با بررسی امضا توسط Resolver (کلاینت) این امکان ایجاد می شود که صحت پاسخ بررسی گردد. مسئله قابل توجه آن است که DNSSEC سرویس confidentiality (محرمانگی) را برای ارتباطات DNS به صورت عادی فراهم نمی کند و به عبارت ساده تر، ارتباطات رمزنگاری نمی شوند اما سرویس Authentication وجود دارد. از سوی دیگر DNSSEC در برابر حملات DoS به صورت مستقیم محافظتی ایجاد نمی کند با این وجود، به دلیل امضا می تواند دارای مزایایی نسبت به DNS باشد. مایکروسافت اکیدا توصیه می کند در پیاده سازی DNSSEC از IPSec جهت ایمن سازی ارتباطات بین کلاینت و سرور استفاده گردد.

DNS Cache Locking

طراحی DNS بر این اساس که با استفاده از Caching سبب شود سرعت پاسخ گویی به Query ها برای نام هایی که Reslove شده اند، بالا برود. یکی از حملات به DNS به Cache Poisoning مشهور است. در این نوع حملات با استفاده از رکورد های malicious (بد اندیش) که روی حافظهCache باز نویسی(Overwrite) می شود سبب می شود تا ترافیک به نقطه ی دیگری منتقل گردد. ویژگی جدید Cache Locking سبب می شود، تا Cache در مدت زمان TTL رکورد نتواند Overwrite شود. این ویژگی سبب می شود که DNS در برابر این دسته از حملات محافظت نسبی پیدا کند.

Cache Loching با درصدی از زمان TTL قابل تنظیم است. به صورت پیش فرض ۱۰۰% است. این میزان در متغیر CacheLockingPercent در Registry تعیین شده است و برای ویرایش آن به مسیر زیر می توانید بروید.

HKEY_LoCAL_MACHINE\SYSYTEM\CurrentControlSet\services\DNS\Parameters settings

برای ویرایش این مقدار از دستور زیر نیز می توانید استفاده کنید:

dnscmd /config /CacheLockingPercent percentvalue

percentvalue معرف درصد مطلوب است.

DNS Socket Pool

DNS Server های قدیمی همواره از یک Source Port برای Resolve کردن Query های دریافتی خود استفاده می کنند. این مسئله سبب می شود حملات Cache Poisoning آسان تر صورت پذیرد. Microsoft DNS Server در Windows Server 2008 R2+ دارای قابلیتی است که از یک مخزن Socket به صورت random یکی را انتخاب کرده و آن را برای ارسال Query خود استفاده می کند. علاوه بر آن از یک Transaction ID که به صورت Random ساخته می شود نیز استفاده می گردد. DNS Socket Pool به صورت پیش فرض فعال است و از ۲۵۰۰ آدرس Socket مختلف استفاده می کند که می تواند تا ۱۰۰۰۰ افزایش یابد. بدیهی است اندازه بزرگتر محافظت بهتری به عمل می آورد. همچنین این امکان وجود دارد برخی از آدرس از pool مستثنی گردند. برای تنظیم این ویژگی که در Registry ثبت می گردد می توانید از دستورات زیر استفاده کنید. دو دستور ابتدا وضعیت فعلی را معین می کند.

dnscmd /info /SocketPoolSize
dnscmd /info /SocketPoolExcludePortRanges
dnscmd /config / SocketPoolSize value
dnscmd /config /SocketPoolExcludePortRanges value

value مقدار مطلوب است.

DNS Devolution

این ویژگی جدید، سبب می شود تا کلاینت های یک Child Domain در یک Forest بتواند به Resource های روی parent domain آسان تر دسترسی پیدا کنند. با استفاده از این ویژگی دیگر نیاز به بیان دقیق FQDN نخواهد بود و DNS Server برای پاسخ گویی به Queryها تا زمانی که پاسخ را پیدا کند به اندازه devolution به بررسی سطوح بالاتر از Forest می پردازد.

به عنوان مثال دامین child.contoso.com را تصور کنید. یک Query برای FileServer0 به صورت خودکار FQDN های FileServer0.Child.contoso.com و FilerServer0.Contoso.com را بررسی می کند. اندازه پیش فرض Devolution به ساختار Forest مرتبط است. در یک Single Domain Forest (جنگل تک درختی) این عمل صورت نمی گیرد و در خصوص دامین هایی که دارای یک Forest Root هستند به دلیل آنکه دارای تمایز در دامین هستند صورت نمی گیرد. جهت تنظیم این ویژگی به Group Policy در شاخه Configuration\Administrative Templates\Network\DNS Client مراجعه گردد. همچین با استفاده از Registry تنظیم این قابلیت امکان پذیر است:

در شاخه HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient مقدار UseDomainNameDevolution معرف فعال بودن یا غیر فعال بودن این قابلیت است. در شاخه HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Ser vices\Dnscache\Parameters مقدار DomainNameDevolutionLevel معرف سطوح devolution است که می تواند بین ۱ تا ۵۰ باشد.

یک دیدگاه در “ویژگی های جدید DNS

  1. باسلام. من میخام اراعه ای درباره dns در دانشگاه داشته باشم.
    میشه ازتون راهنمایی بخام که به نظرتون کدوم قسمت ها dns بهتره گفته بشه ؟طوری که تو یک راعه ۴۵ دقیقه ای حداکثر بگنجه.باتشکر

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *