Zabezpečení nasazení DNS

Při návrhu nasazení serveru DNS (Domain Name System) se řiďte následujícími pokyny pro zabezpečení DNS:

• Pokud se u hostitelů v síti nepožaduje překlad názvů na Internetu, vylučte komunikaci DNS s Internetem.
  
  Při tomto návrhu DNS lze použít privátní obor názvů DNS, který je plně hostován v síti. Privátní obor názvů DNS je distribuován stejně jako internetový obor názvů DNS, kdy interní servery DNS hostují zóny pro kořenovou doménu a domény nejvyšší úrovně.
  
  
• Rozdělte obor názvů DNS organizace mezi interní servery DNS za bránou firewall a externí servery DNS před bránou firewall.
  
  Při tomto návrhu DNS je interní obor názvů DNS subdoménou externího oboru názvů DNS. Pokud je například internetový obor názvů DNS organizace tailspintoys.com, interní obor názvů DNS sítě je corp.tailspintoys.com.
  
  
• Interní obory názvů DNS hostujte na interních serverech DNS a externí obory názvů DNS hostujte na externích serverech DNS, které jsou vystaveny v Internetu.
  
  Při tomto návrhu DNS jsou dotazy interních hostitelů na externí názvy řešeny tak, že interní servery DNS předávají dotazy na externí názvy externím serverům DNS. Externí hostitelé používají pro překlad internetových názvů pouze externí servery DNS.
  
  
• Bránu firewall umožňující filtrování paketů nakonfigurujte tak, aby byla povolena pouze komunikace přes protokoly UDP a TCP na portu 53 mezi externím serverem DNS a jedním interním serverem DNS.
  
  Tento návrh DNS umožňuje komunikaci mezi interními a externími servery DNS a znemožňuje, aby jakýkoli jiný externí počítač získal přístup k internímu oboru názvů DNS.
  
  

Další informace naleznete v tématu Informace o zabezpečení DNS.