قبلا در مورد DNS Enumeration در ITPRO بصورت مفصل صحبت کرده ایم و نوبتی هم باشد نوبت به ارائه راهکارها برای امنیت بیشتر این سرویس در مقابل حملات DNS Enumeration است . در اولین گام سعی کنید تا زمانیکه به این سرویس مسلط نشده اید و دقیقا مکانیزم کاری آن را درک نکرده اید سرویس DNS عمومی راه اندازی نکنید. این یک پیشنهاد دوستانه از طرف خودم بود اما بصورت کلی زمانیکه DNS سرور در سیستم عامل های مختلف را نصب و راه اندازی می کنید قابلیت یا گزینه ای وجود دارد که امکان Zone Transfer را فعال یا غیرفعال می کند و در عین حال شما سرورهایی که مجاز به دریافت Zone Transfer هستند را نیز مشخص می کنید. اگر قرار نیست DNS سرور شما Zone Transfer داشته باشد این قسمت را غیرفعال کنید و اگر قرار است با سرورهای خاصی ارتباط و Zone Transfer داشته باشد حتما آدرس های IP آنها را در این میان تعریف کنید. 
اگر در شبکه های مبتنی بر سیستم عامل های مایکروسافت هستید و DNS سرور شما ویندوز سرور است و بر روی یک Doman Controller قرار دارد مطمئن شوید که Replication بین Domain Controller ها برای سرویس DNS حتما از طریق اکتیودایرکتوری انجام می شود به زبان ساده تر هیچوقت گزینه نگهداری Zone در قالب فایل در تنظیمات DNS سرور را فعال نگه ندارید مگر در زمانیکه نیاز به کپی کردن Zone داشته باشید. اگر از ترکیب دو نوع DNS سرور داخلی و خارجی یا مکانیزم DNS Split در شبکه استفاده می کنید مطمئن شوید که آدرس های IP Private شما در DNS سرور Public شما قرار نگرفته و بصورت عمومی در دسترس نباشند.


نوع خاصی از رکوردهای DNS به نام HINFO وجود دارد که اطلاعاتی از قبلی نوع سیستم عامل سرور و حتی اطلاعاتی مربوط به نوع CPU و … را در خود نگه می دارد. شما باید مطمئن باشید که در DNS سرور شما HINFO Record یا چیزی مشابه آن وجود نداشته باشد و چنین رکوردهایی را از مجموعه فایل Zone حذف کنید. در فرآیند مدیریتی DNS هیچوقت رکوردها یا اطلاعات تماسی قرار ندهید که از طریق آن مهاجم بتواند حملات مهندسی اجتماعی را تدارک ببیند و تا جای ممکن اطلاعات هویتی و تماس را از سرویس DNS حذف کنید. حتما از فرآیند مبهم سازی در رکوردها استفاده کنید و یک الگوریتم مبهم سازی برای خودتان بصورت درون سازمانی و برون سازمانی تعریف کنید برای مثال Accounting.tosinso.com بصورت واضحی نشان می دهد که سرور حسابداری در پشت زمینه این اسم قرار دارد اما وقتی با اسمی مثل 00989121.tosinso.com مواجه شوید مهاجم نمی تواند سرویس پس زمینه را تشخیص بدهد و شناخت شبکه داخلی برایش مبهم تر خواهد شد. ITPRO باشید 

منبع :https://bit.ly/2EtBJiB