基于活动目录服务提高windows系统DHCP和DNS安全访问

2017-06-15张明真

网络安全技术与应用 2017年6期

◆张明真王坤

◆张明真王坤

（郑州铁路职业技术学院软件学院河南 450052）

网络中的DHCP服务器和DNS服务器常常遭受攻击威胁，造成它们无法为客户端提供正常的服务。安装活动目录服务的计算机可以构成若干个域，提高相互之间的安全性。通过在DHCP服务器和DNS服务器上安装活动目录，将其加入域成员组中，并且互相指定接收对方的服务和反馈信息，经过域控制器授权的合法的DHCP服务器和DNS服务器组成信任关系，可以大大提高抗攻击能力。

活动目录；DHCP；DNS

0 前言

windows系统由于其界面易操作、可视化强，深受计算机使用者的亲睐。但是随着网络的不断发展，相比于linux等操作系统，windows系统在安全性方面存在很大差距。计算机在网络中经常会遭遇信息泄露、无法上网、中病毒等攻击，其中有一部分威胁来自于DHCP服务器分配的IP地址为伪地址，DNS服务器进行域名解析时的域名和IP地址有误。

活动目录服务集成了安全特性，为账户信息等资源提供了安全策略。本文研究了活动目录的安装，并建立了域控制器，在域中指定DHCP服务器和DNS服务器。通过在域中对DHCP服务器进行授权，保证DHCP服务器的合法性，确保分配给计算机的IP地址的正确性，进而保证DNS域名解析的正确性。

1 活动目录

1.1活动目录简介

活动目录（Active Directory,AD）是专门针对windows server系统的目录服务技术。它基于windows的目录服务增加了一些全新的功能，具有安全、分布式、可分区和可复制的特征[1]。

管理员和用户可以通过活动目录查找并管理存储在网络上有关对象的信息。用户在登录时，必须经过验证，并获得授权才能够访问网络上的资源。由于活动目录是由若干个域组成的，域和域之间都有相应的安全策略和安全关系，并通过信任关系连接起来。因此，当在计算机上安装活动目录后，若干个计算机就组成了一个具有层次性信任关系的域树，各个站点和域必须经过信任关系的传递才能够进行授权，保证了相互之间信息传递的安全性。另外，还可以通过组策略、全局编录和提升域级别等方法提高活动目录中计算机组和用户的安全性。

1.2活动目录的安装

实验采用VMware安装windows server2003虚拟机，在虚拟机上使用dcpromo命令开启安装活动目录的向导，创建一个“新域的域控制器”，即该服务器为该域中的第一个树。然后选择创建一个“在新林中的域”，将域名指定为abc.com。

根据安装向导指定数据库和日志文件的文件夹、共享的系统卷以及DNS和还原模式的管理员密码，几分钟时间过后，即可以完成新域的域控制器的安装。

2 DHCP

2.1DHCP简介

为解决网络中的主机分配静态IP地址增加网络管理难度的问题，且经常会遇到的IP地址冲突的情况，采用DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）为每台计算机自动分配IP、DNS、网关等上网所必须的设置。

目前，与DHCP息息相关的网络安全问题日渐突出，很多研究人员提出不同的解决方案。2004年，任凤娇等人集合了LDAP，提出一种基于用户认证的DHCP服务器系统[2]；2011年李林等提出一套安全管理系统DHCPGuard，用以发现和定位异常节点，抵御ARP欺骗[3]；另有研究人员提出使用DHCP Snooping技术防止网络中非法的DHCP服务器[4]。

采用IP/MAC相结合的方式，可能会存在伪造的合法MAC；采用DHCP Snooping技术，需要加设交换机等设备，提高了网络应用的成本；而安全系统的应用，使DHCP服务器失去了灵活性，需要与网络设备进行相应的设置。我们可以利用活动目录本身的安全特性，将相关计算机加入到域中，使它们成为一个整体，这样原来零散在网络中的计算机就织成一张网，使原本薄弱的系统变得强大。因此，本文在已安装活动目录的域控制器上安装DHCP服务器，并对服务器进行激活和授权。

2.2 DHCP服务的安装及设置

通过控制面板-添加/删除Windows组件-网络服务-动态主机配置协议（DHCP），完成DHCP服务的安装。安装后启动DHCP，准备安装DHCP作用域，即DHCP服务器负责分配IP地址的网络的范围。每台DHCP服务器上可以建立多个作用域，每个作用域包含不同的地址段，分配给不同的网络中的计算机。

右击作用域，在快捷菜单中分别选择“激活”和“授权”命令，使该服务器能够合法的在作用域范围内工作，如图1所示。在活动目录环境中，不允许未经授权的DHCP服务器工作。而在安全性相对较低的工作组环境中，DHCP服务器不是必须要经过授权的。因此，在活动目录中，DHCP服务器的安全性和可靠性得到了基本的保证。完成后，服务器图标处的箭头由向下的红色变为图1中向上的绿色。

图1 激活和授权DHCP服务器

经过授权的DHCP服务器，可以右击“作用域选项”，在“配置选项”中选中“006 DNS服务器”，指定DNS服务器名和DNS服务器的IP地址。另外，还可以在交换机上配置DHCP Snooping功能，阻止DHCP Dos、DHCP无赖攻击，保障DHCP服务器的安全。

3 DNS

3.1 DNS简介

DNS（Domain name system,域名系统）用于提供域名和IP之间的映射，使人们不需要记忆复杂的IP地址。DNS在网络访问中占据的重要地位，往往由于系统自身缺陷、外部攻击和管理手段不完善，使得DNS服务器常处于威胁之中，进而导致客户端无法获得正确的地址解析。相关研究提出通过部署专业级安全产品对抗DDoS、DNS投毒等各种攻击，或将网关路由器的IP地址和MAC地址进行绑定以避免ARP欺骗[5]，或同时结合外部安全防护体系和内部安全防护策略抵御DNS安全威胁[6]。

DNS服务器的安全关系到整个网络的稳定运行以及用户的信息安全，加强DNS的安全，除了从外部设备方面加强DNS服务器的安全之外，还需要从服务器自身设置方面提升DNS服务器的抗攻击能力。

3.2 DNS服务的安装及设置

通过控制面板-添加/删除Windows组件-网络服务-域名系统（DNS），完成DNS服务的安装。启动DNS，新建正向查找区域，即将域名解析为IP地址的范围；然后建立反向查找区域，即将IP解析为域名的范围。右击正向查找区域的域名，打开“新建主机”对话框，添加域名与IP地址的映射，如图2所示。添加完成后，在反向查找区域中会自动添加IP到DNS的记录，并可通过nslookup命令进行查询，如图3所示。

图2新建主机

同理，可以在域名结点处通过新建主机，在DNS服务器上建立DHCP的主机记录，指定DNS解析IP地址为指定DHCP服务器所分配地址，除此IP地址来源之外，只允许手动添加IP，而禁止其他方式自动获取的IP地址。

图3查看域名解析

通过以上配置，将DNS服务器、DHCP服务器和域环境联合使用，DNS服务器和DHCP服务器互相指定对方，DHCP服务器将IP地址分配给计算机，同时将IP地址与计算机的映射反馈给DNS服务器。由于DHCP服务器是经域授权的，保证了IP地址与对应计算机的正确性，就可以认为其反馈给DNS服务器的映射是正确的，DNS服务器解析的结果是正确的。