Sichern der DNS-Bereitstellung
Halten Sie sich bei der Planung Ihrer DNS-Serverbereitstellung (Domain Name System) an die folgenden DNS-Sicherheitsrichtlinien:
-
Wenn Ihre Netzwerkhosts keine Namen im Internet auflösen müssen, deaktivieren Sie die DNS-Kommunikation mit dem Internet.
Bei dieser DNS-Bereitstellung können Sie einen privaten DNS-Namespace verwenden, der vollständig in Ihrem Netzwerk gehostet wird. Der private DNS-Namespace wird wie der Internet-DNS-Namespace verteilt, wobei Ihre internen DNS-Server als Host für die Zonen der Stammdomäne und der Domänen der höchsten Ebene dienen.
-
Teilen Sie den DNS-Namespace für Ihr Unternehmen in interne DNS-Server hinter der Firewall und externe DNS-Server vor der Firewall auf.
Bei dieser DNS-Bereitstellung ist Ihr interner DNS-Namespace eine untergeordnete Domäne des externen DNS-Namespace. Wenn der Internet-DNS-Namespace für Ihr Unternehmen beispielsweise tailspintoys.com lautet, ist der interne DNS-Namespace für Ihr Netzwerk corp.tailspintoys.com.
-
Verwenden Sie als Hosts für Ihren internen DNS-Namespace interne DNS-Server und als Hosts für Ihren externen DNS-Namespace externe DNS-Server, die mit dem Internet verbunden sind.
Zur Auflösung von Abfragen für externe Namen, die von internen Hosts gesendet werden, leiten die internen DNS-Server in dieser DNS-Bereitstellung Abfragen für externe Namen an die externen DNS-Server weiter. Externe Hosts verwenden nur die externen DNS-Server für die Internetnamensauflösung.
-
Konfigurieren Sie Ihre Paketfilterungsfirewall so, dass die Kommunikation zwischen dem externen DNS-Server und einem einzelnen internen DNS-Server ausschließlich über den UDP- und TCP-Port 53 möglich ist.
Diese DNS-Bereitstellung ermöglicht die Kommunikation zwischen internen und externen DNS-Servern und verhindert, dass andere externe Computer Zugriff auf Ihren internen DNS-Namespace erhalten.
Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.