DNS-сервер

4) Управление интеграцией DNS-сервера с доменными службами Active Directory для сохранения и репликации данных DNS. Интеграция DNS в доменные службы Active Directory служит для автоматической репликации между контроллерами домена в обычном домене или лесу. Установка нескольких контроллеров домена в домене, где работает служба DNS-сервера, гарантирует функционирование DNS, даже если какой-либо контроллер домена выйдет из строя или будет переведен в автономный режим для обслуживания. При наличии нескольких контроллеров домена также имеется возможность размещать серверы в сайтах, чтобы DNS-клиенты могли подключаться к ним с наибольшей эффективностью. Кроме того, итоговая балансировка нагрузки может улучшить общую производительность DNS. При установке доменных служб Active Directory с помощью мастера установки доменных служб Active Directory (Dcpromo.exe) можно автоматически установить и настроить DNS-сервер. Полученная в результате зона DNS интегрируется с доменом Active Directory, который управляется сервером Active Directory. Это наиболее распространенный способ интегрирования DNS с доменными службами Active Directory. Также можно создавать зоны, интегрированные со службой каталогов, не являющиеся частью пространства имен домена доменных служб Active Directory. По умолчанию данные для зоны, интегрированной со службой каталогов, реплицируются на все контроллеры домена в соответствующем лесу или домене. Если необходимо изменить область репликации для зоны, можно создать раздел каталога приложений для хранения данных зоны. Чтобы повысить безопасность инфраструктуры DNS, можно изменить список пользователей или групп, которым разрешено выполнять безопасное обновление соответствующей зоны, а также, если необходимо, изменить разрешения для них.

5) Использование переадресации запросов. Сервер пересылки -- это DNS-сервер в сети, который используется для переадресации DNS-запросов внешних DNS-имен на DNS-серверы за пределами этой сети. Запросы также можно переадресовывать в соответствии с определенными именами доменов, используя для этого серверы условной пересылки. DNS-сервер в сети назначается сервером пересылки, если другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен, находящихся вне сети организации, например имен, находящихся в Интернете. Чтобы использовать серверы пересылки для управления DNS-трафиком между сетью и Интернетом, настройте брандмауэр сети для разрешения связи с Интернетом только выделенному набору DNS-серверов. Если на других DNS-серверах в сети настроена пересылка запросов, которые не могут быть разрешены локально, на эти выделенные DNS-серверы, то они будут функционировать как серверы пересылки. На DNS-серверах, которые пересылают запросы в Интернет, не следует размещать зоны, чтобы не подвергать пространство имен внутренней сети возможным атакам злоумышленников извне. Серверы условной пересылки являются DNS-серверами, которые переадресуют запросы в соответствии с именами доменов. Вместо того, чтобы пересылать всех запросы к DNS-серверу, которые не удалось разрешить локально, на сервер пересылки, можно настроить DNS-серверы таким образом, чтобы они пересылали запросы на различные серверы пересылки в зависимости от определенных имен доменов, содержащихся в этих запросах. Пересылка в зависимости от имен доменов повышает эффективность обычной пересылки путем введения в процесс пересылки условия, зависящего от имени. Серверы условной пересылки можно использовать для повышения эффективности разрешения имен между внутренними (частными) пространствами имен DNS, которые не являются частью пространства имен DNS Интернета. Например, такие пространства имен DNS могут образоваться в результате слияния компаний. При настройке DNS-серверов в одном внутреннем пространстве имен для пересылки всех запросов на заслуживающие доверия DNS-серверы во втором внутреннем пространстве имен серверы условной пересылки включают разрешение имен между двумя пространствами имен без выполнения рекурсии с использованием пространства имен DNS Интернета. Подобное усовершенствование процесса разрешения имен также позволяет избегать ситуаций, в которых DNS-серверы выполняют рекурсию на внутренний корневой сервер для других пространств имен в сети.

3.2.4 Защита инфраструктуры DNS

Можно предпринять целый ряд мер, чтобы обеспечить сопротивляемость инфраструктуры DNS атакам. К этим действиям относятся:

Защита службы DNS-сервера от изменения не уполномоченными на это пользователями. Одним из преимуществ размещения службы DNS-сервера на контроллере домена Active Directory является возможность управления доступом через доменные службы Active Directory (AD DS), позволяющая предотвратить изменение параметров DNS-сервера не уполномоченными на это пользователями. Эту процедуру можно использовать для управления списком пользователей, которые могут администрировать DNS-сервер, и набором изменений, которые они могут вносить.

Поддержание глобального списка блокировки для защиты DNS-клиентов от известных фиктивных серверов. Функция списка блокировки, обеспечиваемая ролью DNS-сервера, помогает предотвратить перехват WPAD, гарантируя, что запросы WPAD-серверов всегда будут приводить к неудаче, если WPAD не исключен из списка блокировки. Список блокировки автоматически применяется ко всем зонам, для которых сервер является заслуживающим доверия. Например, если DNS-сервер является заслуживающим доверия для contoso.com и europe.contoso.com, то он игнорирует запросы как для имени wpad.contoso.com, так и для имени wpad.europe.contoso.com. Однако служба DNS-сервера не игнорирует запросы для имен в зонах, для которых он не является заслуживающим доверия. Говоря точнее, служба DNS-сервера не игнорирует запросы, которые она получает через сервер пересылки или зону-заглушку либо в качестве результата обычной рекурсии или переадресации. Если список блокировки заставляет службу DNS-сервера игнорировать запрос записи ресурса, которая существует в зоне, то служба регистрирует событие, которое объясняет, почему она это сделала. Это событие регистрируется только один раз с момента перезапуска DNS-сервера, чтобы предотвратить переполнение журнала событий при попытке атаки типа «отказ в обслуживании» (DOS).

Повышение безопасности зон. Можно повысить уровень безопасности инфраструктуры DNS, приняв меры для обеспечения безопасности зон, размещаемых на DNS-серверах. Безопасность зон может быть нарушена одним из двух способов: несанкционированными изменениями в зоне и несанкционированным доступом к данным зоны. Несанкционированные изменения в зоне могут произойти в результате динамических обновлений в зоне, которые может выполнить нарушитель. Можно помочь предотвратить этот тип атаки, обеспечив возможность выполнения только безопасных динамических обновлений. Несанкционированный доступ к данным зоны может произойти, если нарушитель настроит дополнительный сервер, который сможет получать передачи зоны от неправильно настроенного основного DNS-сервера. Можно способствовать предотвращению атак этого типа, настроив в зонах передачу только заслуживающим доверия DNS-серверам. Наконец, для зон, хранящихся в доменных службах Active Directory, можно настроить список управления доступом, чтобы предотвратить несанкционированные изменения или доступ к зонам.

Заключение

Все вопросы поставленные в техническом задании рассмотрены и можно сделать следующие выводы.

DNS (англ. Domain Name System -- система доменных имён) -- компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу. Одним из важных пунктов работы DNS - совместимость с Activ Directory, т.к. это средство управления пользователями и сетевыми ресурсами сильно облегчает жизнь администраторам больших сетей и вокруг него строится вся система управления сетью и её безопасности. DNS, интегрированная в Active Directory, располагает рядом достоинств, таких как, например то, что каждый из серверов DNS может вносить изменения в зону и, в случае отказа одного из серверов, обновления зоны DNS не прекращаются. В стандартной конфигурации DNS обновления невозможны, если прекращает работу основной сервер имен. Планирование и администрирование DNS являются сложными процессами и требуют специальных навыков и знаний. DNS важна для работы Интернета, ибо для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла hosts, который составлялся централизованно и автоматически рассылался на каждую из машин в своей локальной сети. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.

Список литературы

1. “Атака и защита DNS”, К. Пьянзин, журнал "LAN/Журнал сетевых решений", 07/1997, URL: http://www.osp.ru/lan/1997/07/79.htm

Робачевский А.М. “Операционная система UNIX”, СПб. BHV - Санкт-Петербург, 1998 г.

2. Эви Немет, Гарт Снайдер, Скотт Сибасс, Трент Р. Хейн. UNIX руководство системного администратора. Учебное пособие. Редакторы Л.И. Мезенко, B.C. Гусев Технический редактор О.Н. Заплаткина BHV, Киев 1997

3. Лукас М. FreeBSD. Подробное руководство, 2-е издание. - Пер. с англ. - СПб.: Символ-Плюс, 2009. - 864 с., ил. // ISBN-10: 5-93286-126-6, ISBN-13: 978-5-93286-126-4, ISBN-13: 978-1-59327-151-0

4. Dynamic DNS & DHCP // http://www.bsdguides.org/guides/openbsd/networking/dynamic_dns_dhcp.php

5. Как правильно настроить DNS // http://www.nbsp.ru/articles/2005/12/14/kak_pravilno_nastroit_dns_chast1.html

6. The Arda.Homeunix.Net DNS & DHCP Setup // http://www.arda.homeunix.net/dnssetup.html

7. BIND9 Administrator Reference Manual // https://www.isc.org/files/Bv9.4ARM.pdf

8. Firewalling with OpenBSD's PF packet filter: Before we start // http://home.nuug.no/~peter/pf/en/preface.html

Размещено на Allbest.ru