Роли DNS серверов и Уровни безопасности Microsoft DNS серверов

Обновлено 02.06.2019

Добрый день! Уважаемые читатели и гости популярнейшего IT блога Pyatilistnik.org. В прошлый раз мы с вами установили в Windows Server 2012 R2, роль DNS сервера. Данная технология по мимо своей основной задачи по разрешению DNS имен в IP-адреса и обратно, имеет еще ряд функций, которые вы как системный администратор просто обязаны знать. DNS, это сердце все сейчас, если у вас он перестанет работать в вашей инфраструктуре, то у вас все встанет. Вы также должны уметь его защищать, и знать уровни безопасности Microsoft DNS серверов.

Системные требования

Когда сервис DNS-сервера запускается, то в оперативную память помещаются данные из всех зон. Так же помним, что в памяти будет храниться кэш DNS запросов. Полезно будет помнить системные требования для DNS серверов:

1. DNS сервер без зон  занимает порядка  4 Мб в оперативной памяти
2. При добавлении зон, данные  загружаются в оперативную память
3. Каждая запись занимает порядка  100 байт. Так если у вас  1000 записей это займет еще 100 кб

Роли DNS серверов

1. Cashing-only — не хранят на себе никаких зон, являются только серверами, где хранится кэш DNS запросов. Поэтому они не создают Zone Transfer трафик. Можно использовать у филиальном офисе, для уменьшения DNS трафика между ним и главным офисом.
2. Non-recursive — Сервера, на которых хранится DNS зона и у которых отключена возможность рекурсивного разрешения имени. Это приводит к тому, что если сервер не может разрешить имя (не имеет ресурсной записи) то DNS запрос будет не разрешен. Такие сервера можно ставить в роли внешних DNS серверов  компаний. Так же  это  защитит от использования внешними пользователями ваших DNS серверов для  разрешения DNS имен в интернете.
3. Forward-only — Понятно из названия, что сервера  занимаются только пересылкой  DNS запросов на  другие сервера (обычный рекурсивный запрос — отключен). В таком случае, если сервер не получит ответа от других, то запрос будет не разрешен. Такие сервера можно использовать  для управления  DNS трафиком между корпоративной сетью и интернетом. В таком сценарии все внутренние сервера будет обращаться к Forward-only серверу с просьбой разрешить внешние  имена. Пятно контакта с интернет уменьшится  до одного DNS сервера.
4. Conditional forwards — Очень похоже на  сервера Forward-only , но в отличии от них в том, что задается связка какой домен на какой IP нужно пересылать.

Таким образом все запросы связанные с contoso.msft , к примеру www.corp.contoso.msft будут перенаправлены на  10.10.0.10

Уровни безопасности Microsoft DNS серверов

Выделяют 3 уровня:

• Низкий уровень безопасности
  1. Ваша DNS инфраструктура полностью выставлена в интернет
  2. Обычное разрешение имен DNS выполняют все сервера в вашей сети
  3. Все DNS сервера сконфигурированы на использование Root-Hint`ов
  4. Все DNS сервера позволяют перемещение  зоны на  любые сервера
  5. Все DNS сервера  слушают на всех своих IP
  6. Отключено очистка от старых записией в кэше
  7. Динамическое обновление разрешено для всех зон
  8. На пограничном  Firewall пропускается DNS трафик в  обе стороны

• Средний уровень безопасности
  1. Ваша DNS инфраструктура имеет ограниченный доступ в интернет
  2. Все DNS сервера  настроены на использование пересылки запросов на специальные сервера, когда  они не могут разрешить имя локально
  3. Перемещении зоны  разрешено только  для  своих NS серверов
  4. Сервера настроены  прослушивать только на определенных IP
  5. Включена  очистка  загрязнений в DNS кэше
  6. Общение между внутренним и внешними  DNS серверами происходит через Firewall, который  частично ограничивает  запросы. Есть  жесткий список  от кого и кому разрешены DNS запросы.
  7. Внешние  DNS сервера настроены  на использование Root-Hints

• Высокий уровень безопасности — немного больше  закрученных гаек по сравнению со средним уровнем.  В такой структуре полностью отсутствует взаимодействие с  интернетом. Это не стандартная конфигурация, но она идеальна, если не нужен  доступ в интернет.
  1. Ваша  DNS инфраструктура полностью не доступна из интернета
  2. Внутри сети используются DNS сервера, которые являются корневыми и хранят все адресное пространство.
  3. Сервера,  настроенные для пересылки  запросов используют только внутренние IP DNS серверов
  4. Перемещение  зоны  жестко ограничено IP адресами
  5. Сервера настроены  прослушивать только на определенных IP
  6. Включена  очистка  загрязнений в DNS кэше
  7. Внутренние  DNS сервера настроены  на  использование root-hint  прикрепленым к корневым  внутренним DNS, на которых хранится корневая  зона  для вашего пространства имен
  8. Все DNS сервера хранятся на  Domain controllers  и имеют  ограниченный доступ (DACL)
  9. Все зоны  хранятся в Active Directory и имеют ограниченный доступ (DACL)
  10. Безопасные динамические обновления разрешены  за  исключением верхнего уровня корневых зон.