Zabezpieczanie wdrożenia systemu DNS

Podczas projektowania wdrożenia systemu DNS należy uwzględnić następujące wytyczne dotyczące bezpieczeństwa:

• Jeśli hosty w sieci nie muszą rozpoznawać nazw w Internecie, wyeliminuj komunikację systemu DNS z Internetem.
  
  W takim projekcie systemu DNS można zastosować prywatny obszar nazw DNS, który w całości będzie obsługiwany wewnątrz sieci. Prywatny obszar nazw DNS ma taką samą strukturę jak internetowy obszar nazw DNS, przy czym wewnętrzne serwery DNS obsługują strefy dla domeny głównej i domen najwyższego poziomu.
  
  
• Podziel obszar nazw DNS firmy przy użyciu wewnętrznych serwerów DNS umieszczonych za zaporą i zewnętrznych serwerów DNS umieszczonych przed zaporą.
  
  W takiej strukturze systemu DNS wewnętrzny obszar nazw DNS jest poddomeną zewnętrznego obszaru nazw DNS. Jeśli na przykład internetowym obszarem nazw DNS firmy jest tailspintoys.com, to wewnętrznym obszarem nazw DNS dla sieci firmy może być corp.tailspintoys.com.
  
  
• Wewnętrzny obszar nazw DNS powinien być obsługiwany na wewnętrznych serwerach DNS, a zewnętrzny obszar nazw DNS - na zewnętrznych serwerach DNS udostępnionych w Internecie.
  
  Aby umożliwić w takim projekcie systemu DNS przetwarzanie zapytań dotyczących nazw zewnętrznych, zgłaszanych przez hosty wewnętrzne, takie zapytania są przesyłane dalej przez wewnętrzne serwery DNS do zewnętrznych serwerów DNS. Hosty zewnętrzne do rozpoznawania nazw internetowych używają tylko zewnętrznych serwerów DNS.
  
  
• Skonfiguruj zaporę filtrującą pakiety w taki sposób, aby zezwalała tylko na komunikację za pośrednictwem protokołów UDP i TCP na porcie 53 między zewnętrznym serwerem DNS a pojedynczym wewnętrznym serwerem DNS.
  
  Taka struktura systemu DNS umożliwi komunikację między wewnętrznymi i zewnętrznymi serwerami DNS oraz pozwoli zapobiec uzyskiwaniu dostępu do wewnętrznego obszaru nazw DNS z poziomu innych komputerów zewnętrznych.
  
  

Aby uzyskać więcej informacji, zobacz temat Informacje o zabezpieczeniach systemu DNS.