DNS-implementatie beveiligen
Gebruik de volgende DNS-beveiligingsrichtlijnen wanneer u de DNS-serverimplementatie (Domain Name System) ontwerpt:
-
Stop de DNS-communicatie met internet als met de netwerkhosts geen namen moeten worden omgezet op internet.
In dit DNS-ontwerp kunt u een particuliere DNS-naamruimte gebruiken waarvoor het netwerk volledig als host fungeert. De particuliere DNS-naamruimte wordt op dezelfde manier gedistribueerd als de DNS-naamruimte op internet, waarbij de interne DNS-servers fungeren als host voor de zones voor het hoofddomein en de domeinen op het hoogste niveau.
-
Verdeel de DNS-naamruimte voor de organisatie tussen interne DNS-servers achter de firewall en externe DNS-servers vóór de firewall.
In dit DNS-ontwerp is de interne DNS-naamruimte een subdomein van de externe DNS-naamruimte. Als de DNS-naamruimte op internet bijvoorbeeld tailspintoys.com is, is de interne DNS-naamruimte voor het netwerk corp.tailspintoys.com.
-
Stel interne DNS-servers in als host van de interne DNS-naamruimte en stel als host voor de externe DNS-naamruimte externe DNS-servers in die zijn verbonden met internet.
Voor het oplossen van query's van interne hosts voor externe externe namen, worden via de interne DNS-servers query's voor externe namen doorgestuurd naar de externe DNS-servers. Externe hosts gebruiken alleen externe DNS-servers voor de omzetting van internetnamen.
-
Configureer de pakketfilteringsfirewall zo dat alleen communicatie via UDP- en TCP-poort 53 wordt toegestaan tussen de externe DNS-server en één interne DNS-server.
Met dit DNS-ontwerp is communicatie mogelijk tussen interne en externe DNS-servers en wordt voorkomen dat andere externe computers toegang kunnen krijgen tot de interne DNS-naamruimte.
Zie Beveiligingsinformatie voor DNS voor meer informatie.