Apa risiko praktis dari mengaktifkan pembaruan DNS yang tidak aman pada Windows?

9

Apa risiko praktis dari mengaktifkan pembaruan DNS yang tidak aman pada Windows?

Sejauh yang saya temukan mengaktifkan pembaruan DNS yang tidak aman adalah persyaratan untuk memungkinkan klien DHCP Linux mendaftarkan nama mereka dengan FQDN.

Saya ingin tahu bahwa ada risiko praktis yang terlibat dalam hal ini untuk mengevaluasi apakah itu diperbolehkan untuk diaktifkan atau tidak.

Sejauh yang saya tahu mesin tidak akan dapat mengambil alih nama cadangan lain yang akan menjadi satu-satunya masalah nyata yang saya miliki sekarang.

Jelas itu adalah DDOS tetapi mengingat bahwa kita berbicara tentang intranet di sini, saya ragu ini bisa menjadi risiko nyata.

Apakah Anda mengaktifkannya di domain Anda atau tidak? Apakah Anda pernah menonaktifkannya karena mengalami masalah dengannya?

Sorin
sumber
Nah, jika Anda ingin siapa pun dapat mendeklarasikan nama host adalah milik mereka (seperti kotak DSL konsumen) ...
joshudson

Jawaban:

10

Tidak aman

Pada dasarnya Anda seharusnya tidak pernah mengizinkan pembaruan yang tidak aman. Secara pribadi saya bahkan tidak suka bahwa server DNS bahkan memungkinkan Anda untuk mematikan pembaruan yang aman. Ini memungkinkan siapa saja di jaringan Anda (seperti peretas) untuk mendaftarkan catatan DNS tanpa diperlukan otentikasi Direktori Aktif. Ini akan memungkinkan penyerang untuk "menipu" nama DNS di jaringan Anda dan mengarahkan orang ke server lain daripada yang mereka pikir akan mereka tuju.

Contoh lain ketika pengaturan ini dapat merusak hari Anda tanpa disengaja ... seseorang mematikan pembaruan aman ... semua HP ILO (di luar manajemen band) pada semua mesin di jaringan tiba-tiba dapat mulai mendaftar secara dinamis catatan DNS mereka sendiri ... tetapi ILO diberi nama yang sama dengan server, sehingga mereka menimpa catatan DNS server host!

Menonaktifkan pembaruan yang aman adalah ide yang buruk. Hanya saja, jangan.

Untuk solusi yang mungkin untuk membuat klien Linux Anda memanfaatkan DHCP untuk mendaftarkan catatan DNS dengan aman, ini mungkin membantu: Daftarkan catatan untuk kotak Linux saya di server DNS / DHCP Windows 2008 saya

Ryan Ries
sumber
Ya, pernah terjadi pada saya ketika seseorang memasang komputer dengan nama yang sama dengan server dan karena pendahulu saya telah mematikan semua bentuk keamanan, entri DNS server diganti oleh PC acak itu, sehingga semua pengguna meminta ke server berakhir di PC itu !!!
ETL
@ ETL telah Anda sebutkan bahwa "server" ini mungkin offline untuk waktu yang lama dan itulah mengapa mesin lain dapat mengambil namanya. Saya ragu ini bisa terjadi saat mesin menyala.
sorin
@sorin - server sudah jelas. Server linux dengan, jika saya ingat dengan benar, entri DNS statis (yang juga tidak dikunci untuk diedit)
ETL
Saya sedang mengerjakan implementasi solusi dari postingan terkait, saya harap ini akan berhasil.
sorin