Ochrona DNS

Pytanie: Nasza sieć jest chroniona przez zaporę ogniową. Mój poprzednik umieścił zarówno podstawowy, jak i zapasowy serwer DNS otwarty na świat, poza zaporą ogniową chroniącą naszą sieć. Jaki sposób ochrony serwerów będzie najlepszą drogą do ochrony naszych DNS przed niepożądanymi gośćmi?

Pytanie: Nasza sieć jest chroniona przez zaporę ogniową. Mój poprzednik umieścił zarówno podstawowy, jak i zapasowy serwer DNS otwarty na świat, poza zaporą ogniową chroniącą naszą sieć. Jaki sposób ochrony serwerów będzie najlepszą drogą do ochrony naszych DNS przed niepożądanymi gośćmi?

Odpowiedź: Istnieje kilka sposobów zabezpieczenia w tej sytuacji. Rekomendujemy umieszczenie serwerów DNS za wykorzystywaną zaporą ogniową i przydzielenie im publicznych adresów IP. Gdy przepuszczamy port 53 przez zaporę ogniową, należy upewnić się, że zezwalamy zarówno na ruch TCP, jak i UDP. Jeżeli zarówno TCP i UDP na port 53 nie będą przepuszczane przez zaporę, mogą pojawić się spore problemy z rozwiązywaniem nazw.

Jeżeli serwery nazw mają pozostać poza zaporą ogniową, sugerujemy umieszczenie ich w sieci innej niż farma serwerów pozostałych usług i pozostała część sieci. Sugerujemy także wprowadzenie list kontroli dostępu na przełączniku, które nie zezwolą na komunikację serwerów DNS z siecią lokalną i dopuszczą komunikację wyłącznie przez połączenie internetowe. Inną opcją jest umieszczenie serwerów w strefie zdemilitaryzowanej DMZ. Niektóre zapory ogniowe umożliwią dodanie dodatkowej karty sieciowej, jeżeli nie ma wolnego portu do realizacji tego celu.

Kolejnym rozwiązaniem jest przyłączenie serwerów DNS do odseparowanej zapory ogniowej, która nie jest przyłączona do głównej sieci. W tym przypadku, jeżeli zapora i/lub jeden z serwerów DNS zostaną zaatakowane, sieć nie będzie zagrożona. Jeżeli uruchomimy trzeci serwer DNS (zakładając, że aktualnie mamy 2 serwery), powinniśmy wprowadzić kolejny mechanizm bezpieczeństwa. W takiej konfiguracji oba serwery DNS przekazujące zapytania są zapasowymi systemami nazw. Warto tak skonfigurować podstawowy serwer DNS, aby odpowiadał na zapytania tylko od zapasowych serwerów nazw.

Wykorzystywane oprogramowanie DNS może oferować dodatkowe opcje bezpieczeństwa. Przykładowo BIND w wersji 9 uniemożliwia odpowiedź na zapytanie o domenę nieobsługiwaną bezpośrednio przez serwer. Oznacza to, że nasz serwer nazw nie będzie wykorzystywany jako publiczne źródło DNS. Dlatego dodatkowy ruch związany z nieobsługiwanymi domenami nie będzie generowany.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200