Рекурсия DNS небезопасна, но необходима для внутренних приложений?

Как сказал Эван в своем ответе, ваши приложения должны использовать клиентский компонент DNS на сервере, который полностью не зависит от компонента сервера DNS. Компонент DNS-сервера можно настроить так, чтобы он не выполнял рекурсию, что позволяет ему отвечать на запросы, отправленные ему только для зон DNS, для которых он является полномочным.

Приложения могут использовать DNS-серверы, настроенные в свойствах TCP / IP соответствующих NIC, который можно настроить для использования любых DNS-серверов, которые будут выполнять рекурсию (например, DNS-серверов Google). DNS-серверы, настроенные в свойствах TCP / IP соответствующей сетевой карты, не должны указывать на DNS-сервер, работающий на том же сервере.

Есть ли способ отключить рекурсивные запросы от DNS, размещенного на сервере, при этом позволяя DNS-запросам, исходящим от сервера, работать?

Нет, с DNS-сервером Microsoft нет ' t.

С DNS-сервером ISC, BIND, можно было избавиться от представлений. DNS-сервер Microsoft не имеет такого механизма. Таким образом, для любого данного экземпляра DNS-сервера Microsoft необходимо выбрать, является ли он общедоступным DNS-сервером контента или локальным прокси-сервером DNS. Он не может обманывать вещи и притворяться разными типами серверов для разных DNS-клиентов.

Служба / инструмент тестирования безопасности совершенно правильные. Рекомендуется не предоставлять прокси-сервис - любой вид прокси-сервиса: будь то прокси-сервис HTTP, прокси-сервис DNS, или служба отправки SMTP - для остальной части Интернета за пределами собственного сайта. Вы очень должны иметь отдельных серверов : контентный DNS-сервер, публикующий ваши общедоступные данные DNS о ваших доменных именах, которые вы зарегистрировали, для всех в Интернете; и локальный прокси-DNS-сервер, который выполняет базовую работу по разрешению запросов от имени компьютеров вашей локальной сети / организации, доступный только для компьютеров в вашей организации / в вашей локальной сети. С DNS-сервером Microsoft это непросто.

Было бы особенно сложно, если бы ваша машина была также контроллером домена. Вы заявляете, что к этой машине можно напрямую получить доступ через весь Интернет. Если такая машина является контроллером домена, вам следует переосмыслить свою сетевую организацию сейчас . Вы подвергнете публике огромное количество внутренних сервисов, а не только DNS-прокси. Итак, давайте поработаем над предположением, что это не контроллер домена.

Поскольку это не контроллер домена, а просто рядовой сервер , у вас нет требования, чтобы DNS клиент на машине должен использовать собственный DNS сервер машины (или, изначально, DNS-сервер другого контроллера домена) для прокси-службы DNS, то есть в случае контроллеров домена. Если бы вы это сделали, вы не смогли бы отключить службу DNS прокси на DNS-сервере машины. К счастью, это не контроллер домена, и его DNS-клиент может использовать для прокси-службы DNS какой-то другой компьютер, но не сам.

DNS-клиент на машине рядового сервера по-прежнему должен использовать внутренний прокси-DNS-сервер. Вы не можете просто указать его на какой-то внешний DNS-сервер, например, предоставленный вашим интернет-провайдером, Google или любой другой стороной, которая не знает всех данных DNS, которые Active Directory использует в вашей локальной сети . Однако вы можете указать клиенту DNS машины на сервере DNS на одном или нескольких контроллерах домена. Это довольно просто, и это то, что вы - в конце концов - уже делаете на всех своих рабочих станциях в локальной сети. DNS-клиент на вашем рядовом сервере нужно просто настроить , как и DNS-клиенты на всех ваших рабочих станциях .

Учитывая, что DNS-клиент вашей машины не использует DNS-сервер, запущенный на машине для прокси Служба DNS, затем вы просто настраиваете DNS-сервер Microsoft так, чтобы он никому не предоставлял прокси-DNS-сервис в любой форме.

Дополнительная литература

• Джонатан де Бойн Поллард (2000,2004,2007). «Контентные» и «прокси» DNS-серверы . Часто задаваемые ответы.
• Джонатан де Бойн Поллард (2000,2004,2007). IP-адреса, на которых прокси-серверы должны быть настроены для прослушивания . Часто задаваемые ответы.
• Джонатан де Бойн Поллард (2003, 2010). Откуда получают прокси-службу DNS . Часто задаваемые ответы
• Джонатан де Бойн Поллард (2003). Обеспечение контентной службы DNS с помощью программного обеспечения DNS-сервера «все сразу». . Часто задаваемые ответы
• Джонатан де Бойн Поллард (2003). Резервные прокси-серверы DNS должны обеспечивать такое же представление пространства имен DNS, как и ваш основной. . Часто задаваемые ответы.
• Корпорация Microsoft (31 января 2007 г.). Рекомендации по настройке DNS-клиентов в Windows 2000 Server и Windows Server 2003 . ID 825036.
• Нирмал Шарма (23 сентября 2007 г.). SRV-записи контроллера домена в доменной зоне DNS . ID 556006. Служба поддержки Microsoft.

I just recently had the same issue and our DNS server was being used for amplification attacks. But I need to keep recursion on for our other internal servers.

If you have a Cisco router, here is a possible fix. I moved our external DNS to a Cisco 7200VXR router and configured it to reply only to specific DNS zones. It will query the internal DNS servers so you don't have to enter everything in two places.

Here is a snippet of the Cisco config that I used:

ip dns view default
 dns forwarder 192.168.0.xx (internal DNS server)
 domain round-robin

ip dns view-list default
 view default 1
  restrict name-group 1

ip dns name-list 1 permit abc.com
ip dns name-list 1 permit def.com
ip dns name-list 1 permit anyotherdomainthatyouhost.com
ip dns name-list 1 permit 3.2.1.in-addr.arpa (needed for reverse PTR lookups)

interface fastethernet0/0 (the interface where the IP address is that will host DNS)
 ip dns view-group default
 ip address 1.2.3.4 secondary (use the public facing IP you will use to host DNS)

ip dns server

Also, don't forget to allow DNS packets in to the router with an access list, such as:

permit udp any host 1.2.3.4 eq domain