Лучшие практики DNS: недорогие способы предотвращения дорогостоящих нарушений безопасности

Опубликовано: 4 Апреля, 2023
Лучшие практики DNS: недорогие способы предотвращения дорогостоящих нарушений безопасности

Системы доменных имен отвечают за преобразование доменных имен в IP-адреса. Организация не может допустить, чтобы ее DNS вышел из строя, потому что это потенциально может остановить доступ к важным веб-ссылкам. Однако атаки на основе DNS — это суровая реальность текущей среды рисков кибербезопасности. Вспомните недавнюю DDoS-атаку (распределенный отказ в обслуживании), серьезно затронувшую Dyn. Эта атака временно отключила PayPal, Amazon, The New York Times и веб-сайты других интернет-гигантов. Помимо того, что DNS является жизненно важным компонентом ИТ-инфраструктуры современной компании, исправный DNS имеет решающее значение для бесперебойной работы Windows Active Directory и ряда других служб. В результате предприятия стремятся расширить свои знания о передовых методах DNS, и это руководство объединяет многие из них, так что читайте дальше.

Лучшие практики DNS: сделайте доступной только самую необходимую информацию

Первое, что должны сделать предприятия, — обеспечить доступность на сервере только той информации, которая абсолютно необходима заинтересованным сторонам, использующим веб-сервер. Например, если есть доменные имена, которые должны быть разрешены публикой, то публике должен быть предоставлен доступ только к серверам, отвечающим за них, и к данным, необходимым для них. Доступ ко всем остальным данным и серверам DNS должен быть ограничен только для внутреннего использования. Кроме того, общедоступные серверы должны быть только авторитетными, а не рекурсивными. Это потому, что внешним сторонам не нужно использовать рекурсивные серверы имен. Эта практика может значительно ограничить ущерб в случае сбоя или нарушения безопасности и в целом ограничивает зону воздействия угроз.

Изолировать службу DNS от разрешения DNS

Служба DNS в основном определяет сопоставление имен и адресов, а затем отправляет информацию локально в Интернет. Разрешение DNS, с другой стороны, перемещается по иерархии серверов имен Всемирной паутины и находит эти сопоставления. Передовой опыт работы с DNS и надежная конструкция системы DNS направлены на то, чтобы изолировать службу DNS от разрешения DNS. Вы можете использовать пару выделенных виртуальных машин для обеспечения столь необходимого разрешения DNS. Убедитесь, что эти виртуальные машины просто запускают базовую конфигурацию преобразователя DNS и не выполняют никаких других функций. Для компаний с несколькими зонами безопасности в пределах локализованной области в каждой зоне можно настроить пары преобразователей DNS. Простые, базовые и небольшие виртуальные машины распознавателя гарантируют, что компании смогут обеспечить автоматическую защиту от DDoS-атак, а также от неадекватных клиентов по низкой цене.

Сделайте DNS-серверы частью кластеров высокой доступности

Крупномасштабные атаки типа «отказ в обслуживании» могут сделать провайдеров неспособными обслуживать данные DNS. Именно здесь на первый план выходит идея высокой доступности. DNS-серверы должны работать как часть пары кластеров высокой доступности. Это гарантирует, что в случае отказа одного из них другой сможет поддерживать работу. Все виды ресурсов DNS-сервера — прямо с первичного и вторичного серверов имен, авторитетных или рекурсивных — могут быть доступны благодаря включению в кластер высокой доступности. Кроме того, для общедоступных серверов предприятия должны искать географически разнесенные серверы, чтобы обеспечить безопасность от физически локализованных событий.

Скрыть основные серверы

Любой сервер, на котором размещена главная копия любой зоны, должен быть установлен как скрытый первичный. При работе с первичными серверами следуйте приведенным ниже рекомендациям.

  • Они должны существовать только для передачи важных данных вторичным серверам имен.
  • Они не должны быть указаны в качестве серверов имен для какой-либо зоны.
  • Конечные пользователи не должны иметь возможности отправлять и получать информацию с этих серверов.

Такая договоренность гарантирует, что доступ к первичным серверам имеют только те лица, которые фактически несут ответственность за их обслуживание и поддержку. Кроме того, брандмауэры можно использовать для защиты основных серверов, когда они работают с внешними серверами имен. Брандмауэр должен быть настроен таким образом, чтобы только вторичные серверы имен могли отправлять запросы к первичным.

Выберите правильную платформу

Выберите правильную платформу управления DNS для своего предприятия — это очень важно, учитывая, что позже управлять миграцией может быть сложно. ИТ-менеджеры часто предпочитают Microsoft DNS, потому что им нужен этот инструмент для работы с Active Directory в качестве сервера и преобразователя. Существуют и другие продукты таких поставщиков, как, например, Infoblox и BlueCat Networks, которые предлагают простые в использовании комплекты управления DNS. Для малых предприятий, которые все еще используют конфигурацию текстовых файлов в старом стиле, есть несколько инструментов с открытым исходным кодом, из которых они могут выбрать, включая BIND и многое другое.

Локальные серверы

Локальное распределение рабочей нагрузки — это ключ к обеспечению работоспособности DNS для вашего предприятия. Вы не хотите, чтобы службы поддержки и конечные пользователи работали медленнее из-за перегруженного центрального сервера имен. В качестве альтернативы попробуйте использовать локальные серверы имен для региональных офисов предприятия. Для организаций с большим количеством филиалов и региональных настроек настоятельно рекомендуется использовать авторитетные и рекурсивные серверы имен на месте для обслуживания этих местоположений. Распределение запросов по нескольким серверам обеспечивает очень быстрое разрешение имен. Помните, что даже обычная веб-страница может состоять из тысяч связанных ресурсов, каждый из которых требует поиска DNS для правильной загрузки страницы. В таких ситуациях высокая задержка может стать огромной проблемой, если только у вас нет локальных серверов.

Не размещайте разделенную службу DNS на разных серверах

Некоторые компании используют разделенную службу, когда пользователи в сети компании (использующие частные IP-адреса) получают один набор результатов, а пользователи за ее пределами получают другой набор результатов от службы DNS. Если ваше предприятие использует разделенную службу DNS, размещение служб на разных серверах может стать проблемой. Это потому, что каждое изменение имени потребует от вас двух обновлений. Ранее мы упоминали BIND — это один из лучших инструментов для управления несколькими представлениями. Инструмент может предоставлять различные наборы результатов внутренним и внешним пользователям и сокращает фактическое количество различных баз данных, которые необходимо использовать предприятию.

Создание надежной DNS не требует много дорогих ресурсов, но требует тщательного планирования для разработки надежной конструкции. Следуйте рекомендациям по работе с DNS, представленным в этом руководстве, и у вас все получится.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023