Considerando Design O servidor DNS

Nem todo mundo tem a experiência necessária para projetar soluções para aplicações de nível de infra-estruturas, tais como DNS (ou para Web e e-mail, mas isso é outro assunto). Se você seguir um conjunto básico de orientações, no entanto, você pode ter um servidor DNS estável e escalável sem muito incômodo. Estabilidade e escalabilidade são as duas qualidades que todos os arquitetos se esforçam para. É claro, os servidores DNS pode ser implementado em outras maneiras, cada administrador de sistemas aparentemente tem seus próprios truques para configurar o sistema. Tenha em mente que cada truque inteligente você usar na configuração de um sistema é mais uma dor de cabeça que você tem quando você está solucionando o sistema mais tarde. Mantenha a simplicidade, e sua sanidade vai agradecer.

Mantendo o servidor seguro

A segurança é primordial quando você está configurando um servidor DNS. Você pode pensar que a segurança é verdadeiramente importante somente em um cenário Internet Service Provider (ISP), para evitar Web page hijacking ou e-mail spoofing, mas é igualmente importante em um ambiente corporativo. segurança do DNS é muito importante em um ISP. Se um intruso obtiver acesso ao seu servidor DNS, ele pode apontar registros para outros servidores que contêm páginas desfiguradas, que é tão bom quanto o acesso ao servidor Web original própria e desfigurar a página. o acesso do intruso também pode ser usado para alterar o registro MX para um domínio, o que tem consequências ainda piores. Ao apontar o registro MX para um servidor de correio, os controles de intrusão e até toma posse do domínio através da apresentação de alterações ao registo de domínio. Note-se que essa insegurança não é tanto uma falha na infra-estrutura DNS, pois é culpa dos administradores de domínio que usam Mail-to como um método de autenticação para seus domínios.

segurança do DNS é igualmente importante em um ambiente corporativo, embora tenha uma importância mais sutil. O problema em um ambiente corporativo é o mesmo que em um ISP: Um intruso pode alterar os registros DNS para apontar para um servidor que ele controla. Neste caso, ele pode roubar dados importantes, fazendo os usuários pensam que ele vai para um servidor real quando se está realmente indo para o servidor não autorizado. Lembre-se que a maioria dos ataques a redes corporativas vêm de dentro da corporação, assim, a segurança DNS é importante, mesmo se você tiver um firewall ou mesmo sem ligação à Internet.

O DNS não executar em um vácuo. Não só devem ser assegurados o serviço DNS, mas o sistema operacional que você usa e o servidor físico também precisa ser cuidadosamente examinado e testado. Mesmo que você tenha assegurado os serviços de DNS corretamente, tudo é em vão se um invasor de rede pode ganhar o controle Administrativo- ou de nível de raiz do servidor que hospeda DNS.

Talvez o mais óbvio, você deve proteger fisicamente o servidor em um local onde apenas os utilizadores autorizados podem aceder. Você também deve restringir, utilizando políticas de sistema operacional, o pessoal não administrativo de ser capaz de fazer logon no servidor. Regularmente verificar com o fornecedor do sistema operacional para atualizações de software e alertas de segurança. A segurança do servidor que hospeda o DNS é "Trabalho # 1" - se você deixá-lo deslizar, você provavelmente vai se arrepender.

Em caso de emergência

Quando planear a sua infra-estrutura de DNS, você sempre precisa ter pelo menos dois servidores DNS para fins de redundância. Se um servidor cair, o outro ainda pode servir clientes. servidores DNS em muitos casos não são redundantes, mas essa situação absolutamente não é recomendado. Se você estiver usando um único servidor DNS e ele falhar, você provavelmente terá a difícil tarefa de responder lotes de telefonemas desagradáveis.

Você pode fornecer redundância DNS de duas maneiras:

  • Senhor de escravos: Na relação DNS master / slave tradicional, (um ou mais) os dados da zona de carga servidores escravos DNS do servidor mestre no arranque e em intervalos especificados no início de autoridade (SOA) de cada zona. Este método de redundância tem uma enorme vantagem: Quando um arquivo de zona é alterado, as alterações são automaticamente propagadas para os servidores escravos. Este processo acontece normalmente assim que as mudanças são feitas se o recurso DNS AVISAR é suportado, e acontece após o intervalo de tempo no registro SOA se notificação não é suportado.
  • A relação servidor DNS master / slave tem uma desvantagem também: Se o mestre vai para baixo, o escravo é reiniciado, e os dados da zona não pode ser transferida. Além disso, se o mestre vai para baixo e não é restaurada no momento em que o registro de DNS torna-se obsoleto (porque não é possível actualizar a partir do servidor master), a zona não está mais acessível.
  • Multiple Master: Se você está mais preocupado com ter DNS disponíveis em todos os momentos, em vez de ter a conveniência fornecida por uma configuração master / slave, você pode usar uma configuração de mestre múltiplo. Este conceito é simples: Todos os servidores DNS são servidores mestres para cada zona. A parte mais difícil de ter vários servidores DNS mestre vem quando é feita uma alteração para um arquivo de zona ou a configuração DNS. A alteração deve ser feita a cada servidor DNS mestre e não é propagada automaticamente.

Não ponha todos os ovos em uma cesta

A localização dos servidores DNS é importante para uma série de razões. (Esta seção se sobrepõe ligeiramente com as duas seções anteriores.) A maioria dos ambientes de usar dois servidores de DNS - um mestre e um escravo ou dois mestres se eles estão apenas o Caching - embora não há limites para o número de servidores que você pode ter.

Você deve considerar dois domínios distintos, mas relacionados para a localização do servidor DNS:

  • Colocação em relação a um firewall: Na maioria dos casos, os servidores DNS internos são colocados na rede interna, e servidores acessíveis externamente são colocados na zona desmilitarizada (DMZ) da firewall, que é segura, mas também acessível a partir da rede pública. Se você tem apenas um conjunto de servidores DNS para o DNS interno e externo (embora esse arranjo não é recomendado), você deve colocá-los na DMZ e têm utilizadores internos acessá-los a partir da rede interna, em vez de colocá-los na rede interna e abrir um buraco em seu firewall para solicitações de DNS externos.
  • Colocação em seus segmentos de rede geograficamente ou de alguma outra forma lógica: Você tem um número de razões para colocar seus servidores DNS em segmentos de rede separados e locais separados -Principalmente, redundância. Se um segmento de rede vai para baixo, ou mesmo um local inteiro é perdido por causa de um desastre de algum tipo, você ainda pode fornecer o serviço de DNS. Além disso, os aumentos de desempenho para servidores DNS internos podem resultar se você configurar sistemas para usar o servidor DNS local primeiro e usar o servidor DNS remoto se o servidor local é baixo. Tendo pelo menos um servidor de DNS interno em cada localização geográfica é prática comum.

menu