MSPStandard.pl - IT dla małych i średnich firm - link do strony głównej
wyszukiwanie:
Podziel się opinią o serwisie

reklama

System z przyszłością

Strefa EpicorPoznaj "najbardziej wizjonerski" system ERP wg. Gartnera.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

więcej...

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst >
ARCHIWUM

Ochrona DNS

5 marca 2007

Kamil Folga
Pytanie: Nasza sieć jest chroniona przez zaporę ogniową. Mój poprzednik umieścił zarówno podstawowy, jak i zapasowy serwer DNS otwarty na świat, poza zaporą ogniową chroniącą naszą sieć. Jaki sposób ochrony serwerów będzie najlepszą drogą do ochrony naszych DNS przed niepożądanymi gośćmi?


NetWorld — Odpowiedź: Istnieje kilka sposobów zabezpieczenia w tej sytuacji. Rekomendujemy umieszczenie serwerów DNS za wykorzystywaną zaporą ogniową i przydzielenie im publicznych adresów IP. Gdy przepuszczamy port 53 przez zaporę ogniową, należy upewnić się, że zezwalamy zarówno na ruch TCP, jak i UDP. Jeżeli zarówno TCP i UDP na port 53 nie będą przepuszczane przez zaporę, mogą pojawić się spore problemy z rozwiązywaniem nazw.

Jeżeli serwery nazw mają pozostać poza zaporą ogniową, sugerujemy umieszczenie ich w sieci innej niż farma serwerów pozostałych usług i pozostała część sieci. Sugerujemy także wprowadzenie list kontroli dostępu na przełączniku, które nie zezwolą na komunikację serwerów DNS z siecią lokalną i dopuszczą komunikację wyłącznie przez połączenie internetowe. Inną opcją jest umieszczenie serwerów w strefie zdemilitaryzowanej DMZ. Niektóre zapory ogniowe umożliwią dodanie dodatkowej karty sieciowej, jeżeli nie ma wolnego portu do realizacji tego celu.

Kolejnym rozwiązaniem jest przyłączenie serwerów DNS do odseparowanej zapory ogniowej, która nie jest przyłączona do głównej sieci. W tym przypadku, jeżeli zapora i/lub jeden z serwerów DNS zostaną zaatakowane, sieć nie będzie zagrożona. Jeżeli uruchomimy trzeci serwer DNS (zakładając, że aktualnie mamy 2 serwery), powinniśmy wprowadzić kolejny mechanizm bezpieczeństwa. W takiej konfiguracji oba serwery DNS przekazujące zapytania są zapasowymi systemami nazw. Warto tak skonfigurować podstawowy serwer DNS, aby odpowiadał na zapytania tylko od zapasowych serwerów nazw.

Wykorzystywane oprogramowanie DNS może oferować dodatkowe opcje bezpieczeństwa. Przykładowo BIND w wersji 9 uniemożliwia odpowiedź na zapytanie o domenę nieobsługiwaną bezpośrednio przez serwer. Oznacza to, że nasz serwer nazw nie będzie wykorzystywany jako publiczne źródło DNS. Dlatego dodatkowy ruch związany z nieobsługiwanymi domenami nie będzie generowany.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 0)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

Ten artykuł nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...