Налаштування DNS: внутрішні та зовнішні сервери

Ерік Холл

З ервери служби імен доменів DNS (Domain Name Service) - потужний інструмент накопичення і видачі інформації про вашу мережі. З їх допомогою можна дізнатися кількість хостів у вашому домені, типи обладнання та операційних систем, встановлених на комп'ютерах, і інші важливі дані. Ця інформація може бути надзвичайно корисна для внутрішнього системного адміністрування. Однак нею можуть зацікавитися і ті, для кого вона зовсім не призначена.

Перше, що захоче отримати "зломщик", - це цілісна картина вашої мережі, яку сервери DNS цілком здатні їм надати. Помилково думати, що хакери - єдині, хто цікавиться вашою мережею. Торгові агенти постачальників також хочуть знати, які платформи використовуються у вашій фірмі і хто ними керує. Така інформація допоможе їм "розставити свої мережі" на найбільш зацікавлених персон. Фірми, які планують укласти з вами якісь угоди, можуть використовувати цю інформацію, щоб отримати перевагу на переговорах або при інших видах взаємодії. Служба DNS надає їм для цього всі необхідні дані.

Звичайно, все це не означає, що використання серверів DNS слід уникати. Навпаки, треба постаратися витягти максимум користі від цієї відкритої, що масштабується і вже досить випробуваною служби. Однак надану нею інформацію слід захистити, щоб вона не потрапила в руки ваших конкурентів або недоброзичливців. Кращий шлях до цього - обмежити доступ до внутрішньої інформації, залишивши для зовнішнього світу лише мінімально необхідну її частина.

Порівняння внутрішніх і зовнішніх клієнтів DNS

Проектуючи реалізацію служби DNS на базі двох серверів, треба пам'ятати про те, що до внутрішніх і зовнішніх клієнтів DNS запитувана інформація надходить різними шляхами. Внутрішні клієнти є членами вашого домену і для обробки своїх запитів будуть використовувати локальний DNS-сервер. Зовнішні клієнти DNS, швидше за все, будуть перебувати в іншому домені і для отримання інформації про вашу мережі використовувати кореневі DNS-сервери Інтернет.

Але незалежно від того, є клієнт локальним або віддаленим, він використовує один і той же механізм пошуку необхідного сервера DNS. Для отримання IP-адрес клієнти DNS запитують сервери, адреси яких містяться в їх локальному файлі resolv.conf або визначені аналогічним способом.

Розглянемо приклад, коли клієнт обмежується запитом до локального сервера DNS (рис. 1). На даній схемі хост Lab01.NWC.COM запитує свій DNS-сервер NTAS.NWC.COM про IP-адресу хоста Lab02.NWC.COM. Оскільки необхідна інформація є на цьому локальному сервері, вона відразу ж передається хосту Lab01. NWC.COM.

Пошук сервера DNS в глобальній мережі

Якщо якийсь хост запитує інформацію про пристрій, що знаходиться поза локального домену, то запускається складніший механізм опитування зовнішніх DNS-серверів.

Розглянемо послідовність виконуваних запитів на конкретному прикладі (рис. 2).

1. Хост Lab01 запитує свій локальний сервер NTAS про IP-адресу хоста FTP.NOVELL.COM.

2. Сервер NTAS запитує DNS-сервер кореневого домена про IP-адресу серверів DNS, відповідальних за домен СОМ.

3. Сервер NTAS запитує DNS-сервер домену СОМ про IP-адресу сервера домена NOVELL.COM.

4. Сервер NTAS запитує DNS-сервер NOVELL. COM про IP-адресу хоста FTP.NOVELL.COM.

5. Сервер NTAS повертає адресу FTP.NOVELL.COM хосту Lab01 і зберігає його в своєму кеші для подальшого використання.

У тому випадку, якщо для вашого домену прийнято рішення використовувати два сервера DNS - внутрішній і зовнішній, адреса внутрішнього сервера буде вказано в локальних змінах клієнтських хостів даного домену, а зовнішнім сервером DNS будуть користуватися клієнти, що працюють в мережі Інтернет і не належать вашому домену. Таким чином, за допомогою двох серверів можна встановити два різних опису вашої мережі.

В результаті ваші внутрішні хости будуть звертатися до локального сервера DNS, що надає їм повний необмежений доступ до даних, що належать до локального домену. Якщо комусь знадобиться запросити зовнішній вузол, то ваш DNS-сервер здійснить пошук від імені даного хоста, як це було описано вище.

Зовнішній DNS-сервер можна налаштувати так, щоб він надавав користувачам лише обмежену опис вашої мережі. Цей сервер стане вашим "офіційним" DNS-сервером, з яким і будуть працювати зовнішні користувачі. З його бази даних можна отримати адреси загальнодоступних серверів вашої організації і деяку додаткову інформацію. Узагальнена схема локальної служби DNS, реалізованої за допомогою двох серверів, представлена ​​на рис. 3.

Конфігурація зовнішнього сервера

Раз ви зважилися встановити зовнішній сервер DNS, вам необхідно проінформувати про це службу InterNIC. Ви можете зареєструвати свій сервер в автоматичному режимі, скориставшись сторінкою rs.internic.net/cgi-bin/ itts. Однак, перш ніж оновлювати базу даних InterNIC, вам слід почекати, поки ваші нові сервери DNS увійдуть в робочий режим, так як при використанні зазначеного механізму реєстрації нового сервера зміни приймаються майже миттєво. Після реєстрації в InterNIC зовнішні запити до ваших доменів будуть обслуговуватися новими серверами.

Зовнішній сервер потрібно налаштувати таким чином, щоб "чужим" користувачам було видно тільки IP-адреси Web-, FTP- і поштового серверів (останній задається за допомогою запису Mail Exchange - MX), які обслуговують ваші домени. Але, крім цієї інформації, в базу даних DNS потрібно обов'язково занести покажчик PTR для забезпечення так званого зворотного пошуку (даний механізм використовує домен IN-ADDR. ARPA - см. "Мережі і системи зв'язку", № 1/97, c. 106. - Прим. ред.). Якщо цього не зробити, вас очікують непередбачені втрати з'єднань з серверами FTP, помилкові повідомлення про помилки в мережі та інші подібні "сюрпризи".

Ступінь деталізації інформації, що міститься на зовнішньому сервері DNS, сильно залежить від того, яким чином клієнти вашої мережі будуть звертатися до Інтернет. При безпосередньому зверненні кожної окремої хост-системи до Інтернет вам доведеться занести в базу даних зовнішнього сервера записи PTR для всіх хостів. У разі ж використання вашими клієнтами proxy-серверів або шлюзів перетворення протоколів ви повинні занести в базу даних записи PTR тільки для хостів, що мають безпосередній доступ до Інтернет.

У будь-якому випадку у зовнішній базі даних DNS буде міститися лише незначна частка інформації внутрішньої бази даних, завдяки чому, одного разу сконфігурованої зовнішній сервер DNS, його буде нескладно підтримувати в подальшому. Маючи в своєму розпорядженні меншим обсягом інформації, ваш зовнішній сервер, по всій видимості, буде обробляти і набагато менший трафік, а отже, він зажадає і меншою обчислювальної потужності. Більш того, у вас з'явиться можливість зовсім не виділяти окремого хоста під базу даних DNS, використовуючи сервер імен вашого постачальника послуг Інтернет. Це допоможе вам уникнути закупівель додаткового обладнання або ПЗ для нового сервера.

Конфігурація внутрішнього сервера

Використання вашого старого DNS-сервера в якості внутрішнього не спричинить за собою ніяких особливих змін на клієнтських машинах. Але якщо, приймаючи для себе конфігурацію з двох серверів, ви додаєте саме внутрішній DNS-сервер, то вам необхідно оновити службову інформацію на всіх хостах в вашому домені, щоб вони зверталися до нього за замовчуванням.

Є ще кілька важливих додаткових налаштувань, які треба виконати на внутрішньому сервері DNS. В першу чергу заблокуйте зовнішній доступ до корпоративного DNS-сервера. В іншому випадку "зломщики", що проявляють інтерес до вашої організації, зможуть вважати необхідну їм інформацію, просто вказавши на ваш внутрішній сервер DNS. Щоб запобігти цьому, треба відповідним чином налаштувати фільтрацію трафіку TCP / UDP у вашій системі firewall.

Правда, конфігурація системи firewall для правильної роботи із запитами DNS може виявитися досить складним. Адже вам необхідно блокувати запити, які надходять від зовнішніх клієнтів, і при цьому дозволити проходження результатів запитів вашого сервера з зовнішньої мережі через захисну систему. Кожен брандмауер по-своєму справляється з цим завданням, тому все безліч варіантів її вирішення ми не можемо перерахувати в рамках даної статті. Переконайтеся, що ви розумієте особливості реалізації вашої системи firewall, перш ніж "ізолювати" внутрішній DNS-сервер від зовнішнього світу