Proteger a Implementação de DNS

Quando planear a implementação do servidor DNS (Sistema de Nomes de Domínio), utilize as seguintes directrizes de segurança de DNS:

• Se os anfitriões de rede não forem necessários para resolver nomes na Internet, elimine a comunicação de DNS com a Internet.
  
  Nesta estrutura de DNS, pode utilizar um espaço de nomes DNS privado totalmente hospedado na rede. O espaço de nomes DNS privado é distribuído como o espaço de nomes DNS da Internet, onde os servidores DNS internos hospedam zonas do domínio raiz e domínios de nível superior.
  
  
• Divida o espaço de nomes DNS da organização entre servidores DNS internos atrás da firewall e servidores DNS externos à frente da firewall.
  
  Nesta estrutura de DNS, o espaço de nomes DNS interno é um subdomínio do espaço de nomes DNS externo. Por exemplo, se o espaço de nomes DNS da Internet da organização for tailspintoys.com, o espaço de nomes DNS interno da rede será corp.tailspintoys.com.
  
  
• Aloje o espaço de nomes DNS interno em servidores DNS internos e aloje o espaço de nomes DNS externo em servidores DNS externos expostos à Internet.
  
  Para resolver consultas de nomes externos efectuadas por anfitriões internos, os servidores DNS internos nesta estrutura de DNS reencaminham as consultas de nomes externos para os servidores DNS externos. Os anfitriões externos utilizam os servidores DNS externos apenas para a resolução de nomes da Internet.
  
  
• Configure a firewall de filtragem de pacotes para permitir apenas a comunicação da porta  53 de UDP e TCP entre o servidor DNS externo e um único servidor DNS interno.
  
  Esta estrutura de DNS facilita a comunicação entre servidores DNS internos e externos e impede que outros computadores externos obtenham acesso ao seu espaço de nomes DNS interno.
  
  

Para mais informações, consulte Informações de Segurança do DNS.