DNS-telepítés biztonságossá tétele

Amikor a DNS-kiszolgálók üzembehelyezési tervét készíti, kövesse a következő DNS-biztonsági útmutatásokat:

  • Ha a hálózati állomásoknak nincs szükségük internetes névfeloldásra, szüntesse meg az internet felé irányuló DNS-kommunikációt.

    Ebben a DNS-tervben egy saját DNS-névteret használhat, amit a teljes hálózatban elérhetővé tesznek a kiszolgálók. A saját DNS-névteret az internetes DNS-névtérhez hasonlóan osztják el a belső DNS-kiszolgálók, amelyek zónákat tárolnak a gyökértartományhoz és a legfelsőbb szintű tartománynévhez (TLD).

  • Ossza fel a szervezet DNS-névterét a tűzfal mögött lévő belső DNS-kiszolgálók és a tűzfal előtt lévő külső DNS-kiszolgálók között.

    Ebben a DNS-tervben a belső DNS-névtér a külső DNS-névtér altartománya. Ha például a szervezet internetes DNS-névtere de-jo-jatek.hu, akkor a hálózat belső DNS-névtere vallalat.de-jo-jatek.hu.

  • A belső DNS-névteret tárolja belső DNS-kiszolgálókon, és a külső DNS-névteret tárolja közvetlenül az internetre csatlakozó, külső DNS-kiszolgálókon.

    Belső állomások által a külső nevekre indított lekérdezéseket a belső DNS-kiszolgálók ebben a tervben a külső DNS-kiszolgálók felé továbbítják. A külső állomások csak külső DNS-kiszolgálókat használnak internetes névfeloldáshoz.

  • Állítsa be a csomagszűrő tűzfalán, hogy csak az 53-as UDP- és TCP-portokon engedélyezze a kommunikációt a külső és egy belső DNS-kiszolgáló között.

    Ez a DNS-terv lehetővé teszi a külső és belső DNS-kiszolgálók közötti kommunikációt, és megakadályozza, hogy bármilyen más külső számítógép hozzáférhessen a belső DNS-névtérhez.

További információt a Biztonsági információk a DNS-hez című témakörben talál.


Tartalom