Apa risiko praktis dari mengaktifkan pembaruan DNS yang tidak aman pada Windows?
Sejauh yang saya temukan mengaktifkan pembaruan DNS yang tidak aman adalah persyaratan untuk memungkinkan klien DHCP Linux mendaftarkan nama mereka dengan FQDN.
Saya ingin tahu bahwa ada risiko praktis yang terlibat dalam hal ini untuk mengevaluasi apakah itu diperbolehkan untuk diaktifkan atau tidak.
Sejauh yang saya tahu mesin tidak akan dapat mengambil alih nama cadangan lain yang akan menjadi satu-satunya masalah nyata yang saya miliki sekarang.
Jelas itu adalah DDOS tetapi mengingat bahwa kita berbicara tentang intranet di sini, saya ragu ini bisa menjadi risiko nyata.
Apakah Anda mengaktifkannya di domain Anda atau tidak? Apakah Anda pernah menonaktifkannya karena mengalami masalah dengannya?
Jawaban:
Pada dasarnya Anda seharusnya tidak pernah mengizinkan pembaruan yang tidak aman. Secara pribadi saya bahkan tidak suka bahwa server DNS bahkan memungkinkan Anda untuk mematikan pembaruan yang aman. Ini memungkinkan siapa saja di jaringan Anda (seperti peretas) untuk mendaftarkan catatan DNS tanpa diperlukan otentikasi Direktori Aktif. Ini akan memungkinkan penyerang untuk "menipu" nama DNS di jaringan Anda dan mengarahkan orang ke server lain daripada yang mereka pikir akan mereka tuju.
Contoh lain ketika pengaturan ini dapat merusak hari Anda tanpa disengaja ... seseorang mematikan pembaruan aman ... semua HP ILO (di luar manajemen band) pada semua mesin di jaringan tiba-tiba dapat mulai mendaftar secara dinamis catatan DNS mereka sendiri ... tetapi ILO diberi nama yang sama dengan server, sehingga mereka menimpa catatan DNS server host!
Menonaktifkan pembaruan yang aman adalah ide yang buruk. Hanya saja, jangan.
Untuk solusi yang mungkin untuk membuat klien Linux Anda memanfaatkan DHCP untuk mendaftarkan catatan DNS dengan aman, ini mungkin membantu: Daftarkan catatan untuk kotak Linux saya di server DNS / DHCP Windows 2008 saya
sumber