Proteggere la distribuzione DNS

Quando si progetta la distribuzione del server DNS (Domain Name System), attenersi alle linee guida per la sicurezza DNS seguenti:

• Se gli host della rete non sono necessari per la risoluzione dei nomi in Internet, eliminare la comunicazione DNS con Internet.
  
  In questa struttura DNS è possibile utilizzare uno spazio dei nomi DNS privato ospitato interamente nella rete. Lo spazio dei nomi DNS privato viene distribuito come lo spazio dei nomi DNS Internet, con i server DNS interni che ospitano le zone per il dominio radice e i domini di primo livello.
  
  
• Suddividere lo spazio dei nomi DNS dell'organizzazione tra i server DNS interni protetti dal firewall e i server DNS esterni al di là del firewall.
  
  In questa struttura DNS lo spazio dei nomi DNS interno è un sottodominio dello spazio dei nomi DNS esterno. Se ad esempio lo spazio dei nomi DNS Internet dell'organizzazione è tailspintoys.com, lo spazio dei nomi DNS interno della rete sarà corp.tailspintoys.com.
  
  
• Ospitare lo spazio dei nomi DNS interno nei server DNS interni e lo spazio dei nomi DNS esterno nei server DNS esterni esposti a Internet.
  
  Per risolvere le query relative a nomi esterni eseguite da host interni, i server DNS interni di questa struttura DNS inoltrano le query di nomi esterni ai server DNS esterni. Gli host esterni utilizzano solo i server DNS esterni per la risoluzione dei nomi Internet.
  
  
• Configurare il firewall di filtro dei pacchetti in modo da consentire solo la comunicazione tramite porta UDP e TCP 53 tra il server DNS esterno e un singolo server DNS interno.
  
  Questa struttura DNS semplifica le comunicazioni tra server DNS interni ed esterni e impedisce l'accesso allo spazio dei nomi DNS interno da parte di altri computer esterni.
  
  

Per ulteriori informazioni, vedere Informazioni sulla sicurezza per il DNS.