Protegendo a implantação do DNS
Quando projetar a implantação do seu servidor de sistema de nome de domínio (DNS), utilize as seguintes diretrizes de segurança de DNS:
-
Se os hosts da sua rede não precisarem resolver nomes da Internet, elimine a comunicação do DNS com a Internet.
Nesse design de DNS, você poderá usar um namespace DNS totalmente hospedado em sua rede. O namespace DNS privado é distribuído como o namespace DNS de Internet, com os seus servidores DNS internos hospedando zonas para o domínio raiz e para os domínios de nível superior.
-
Divida o namespace DNS da sua organização entre os servidores DNS internos, por trás do firewall, e os servidores DNS externos, na frente do firewall.
Nesse design de DNS, o seu namespace DNS interno será um subdomínio do seu namespace DNS externo. Por exemplo, se o namespace DNS de Internet da sua organização for tailspintoys.com, o namespace DNS interno da sua rede será corp.tailspintoys.com.
-
Hospede o seu namespace DNS interno em servidores DNS internos e hospede o seu namespace DNS externo em servidores DNS externos que estejam expostos à Internet.
Nesse design, para resolver consultas para nomes externos feitas por hosts internos, os servidores DNS internos encaminharão consultas sobre os nomes externos para os servidores DNS externos. Os hosts externos só utilizam os servidores DNS externos para a resolução de nome de Internet.
-
Configure o seu firewall com filtragem de pacote para que ele permita somente a comunicação UDP e TCP na porta 53 entre o seu servidor DNS externo e um único servidor DNS interno.
Esse projeto de DNS facilita a comunicação entre os servidores DNS interno e externo e impede que qualquer outro computador externo tenha acesso ao seu namespace DNS interno.
Para obter mais informações, consulte Informações sobre segurança do DNS.