ћерион Ќетворкс

—истема доменных имен (DNS Ц Domain Name System) обеспечивает сетевую коммуникацию. DNS может показатьс€ какой-то невидимой силой или сущностью до тех пор, пока что-то пойдет не так, потому что если DNS выйдет из стро€, то ничего работать не будет.

¬ данной статье будут рассмотрены передовые методы и наиболее важные меры безопасности дл€ поддержани€ работоспособности вашей инфраструктуры DNS. „тобы создать безопасную и надежную DNS, об€зательно изучите перечисленные ниже пункты.


ѕередовые технологии дл€ обеспечени€ высокой производительности DNS

ќбеспечение избыточности и высокой доступности DNS

DNS €вл€етс€ основой сетевых приложений, поэтому инфраструктура DNS должна быть высоко доступной. ј чтобы обеспечить необходимый уровень избыточности, в вашей организации должно быть, как минимум, два DNS-сервера, первичный и вторичный.

„тобы обеспечить работу критически важных дл€ бизнеса систем, необходимо иметь, как минимум, два внутренних DNS-сервера. ¬се системы активного каталога, обмена данными и электронной почты полагаютс€ на корректную работу DNS. Ѕез исправно функционирующих внутренних DNS-серверов внутренние устройства не будут иметь возможности обмениватьс€ данными.

ƒва DNS-сервера

≈сли на одном DNS-сервере возникнет проблема, то второй сразу же замен€ет его. јдминистраторы настраивают оборудование так, чтобы автоматически использовалс€ вторичный DNS, если первичный не отвечает. IP-адрес внутреннего DNS-сервера может быть любым в диапазоне IP-адресов частной сети.

ќбеспечива€ избыточность DNS-серверов, вы можете добитьс€ высокой доступности инфраструктуры DNS. Ќепрерывна€ репликаци€ с первичных серверов на вторичные обеспечит синхронизацию ваших DNS-записей и защитит систему от сбоев. ¬ы можете быть уверены в том, что конечный пользователь всегда будет иметь возможность получить доступ к системам.

—окрытие DNS-серверов и DNS-информации

Ќе каждый DNS-сервер и не кажда€ информаци€ должна быть доступна дл€ всех пользователей.

¬о-первых, откройте только те серверы и данные, которые необходимы лицам, непосредственно использующим эти серверы. Ёто особенно важно, если ваши доменные имена €вл€ютс€ общедоступными.

¬о-вторых, скройте свой основной DNS-сервер. ¬нешние пользователи не должны видеть первичные серверы. «аписи дл€ этих серверов не должны быть видны ни в одной общедоступной базе данных серверов имен. «апросы от пользователей должны обрабатывать только вторичные DNS-серверы.

≈сли DNS-сервер доступен за пределами вашей сети, то это должен быть авторитативный DNS-сервер. ¬нешним пользовател€м не нужно обращатьс€ к вашим рекурсивным DNS-серверам. —истемна€ конфигураци€ будет высокопроизводительной только тогда, когда сервер будет отвечать только на итеративные запросы дл€ соответствующих зон, за которые он отвечает.

¬ довершение ко всему, иметь доступ к первичным серверам должны только системные администраторы и IT-персонал вашей организации. ≈сли ваши первичные DNS-серверы будут открыты дл€ всех внутренних пользователей, то это может создать серьезную угрозу дл€ безопасности.  ак показывает практика, лучше скрывать DNS-серверы и некоторые данные от пользователей, которым доступ к ним не нужен.

—окрытие DNS-серверов и DNS-информации

Ќужно ли использовать внешний или внутренний DNS-сервер?

ќтвет на данный вопрос зависит от внутренней настройки.

„тобы устройства в одном домене могли общатьс€ друг с другом, вам необходимо указать внутренний DNS-сервер. ¬нешние DNS-серверы не могут работать с именами хостов внутренних устройств.

Ќапример, когда компьютер DESKTOP1 отправл€ет DNS-запрос дл€ офисного принтера или сервера hr-1, только внутренн€€ DNS может предоставить запись ресурса. ≈сли вы настроите устройство на использование внешнего DNS, например, 8.8.8.8 Google, то вы не сможете использовать внутренние ресурсы.

¬о внутренних средах необходимо установить, как первичный, так и вторичный DNS на внутренний сервер имен. ƒаже если основной DNS-сервер даст сбой, проблем с подключением не будет. ƒополнительный DNS-сервер содержит все записи и действует как резервна€ копи€. ¬ случае возникновени€ какой-либо проблемы, этот сервер отвечает на все запросы до тех пор, пока не заработает основной сервер.

»спользование локального или ближайшего DNS-сервера

ќфисы крупных организаций часто расположены по всему миру. ¬ таком случае следует настроить локальный DNS-сервер в каждом офисе, если позвол€ет инфраструктура.

ј все потому, что локальный сервер сокращает врем€ ответа на DNS-запросы. ≈сли же запрос проходит через глобальную сеть к удаленному серверу имен, то врем€ загрузки увеличиваетс€.

Ѕлижайший DNS-сервер

ѕри большом количестве клиентов, естественно, увеличиваетс€ количество DNS-запросов. ќдна централизованна€ группа DNS-серверов, конечно, может обрабатывать все эти запросы, но с большой задержкой. ≈сли компьютеры пользователей будут направл€тьс€ на локальный или ближайший сервер имен, то врем€ отклика может существенно сократитьс€.

¬ таком случае задержка не превышает 50 мс. Ѕолее того, это значение обычно даже намного ниже. »спользование ближайшего DNS-сервера сокращает врем€ загрузки дл€ всех устройств. “аким образом, вы также уменьшаете нагрузку на удаленный сервер в штаб-квартире и повышаете его производительность. «десь также остаетс€ актуальной рекомендаци€ иметь, как минимум, два DNS-сервера.


ѕередовые методы обеспечени€ безопасности DNS

DNS-серверы очень часто станов€тс€ целью кибератак. ¬ажным шагом в предотвращении вторжений в вашу организацию €вл€етс€ защита инфраструктуры DNS. „тобы избежать серьезного нарушени€ настроек DNS, об€зательно изучите меры безопасности, описанные ниже.

¬едение журнала DNS-сервера

¬едение журнала DNS-сервера Ц это один из самых эффективных способов отслеживани€ активности DNS. ∆урналы сообщают вам, если кто-то пытаетс€ вмешатьс€ в ваши DNS-серверы. ѕомимо активности пользователей, журналы отладки сообщают вам о проблемах с DNS-запросами или обновлени€ми.

∆урналы DNS также показывают следы отравлени€ кэша. ѕри таком виде атаки злоумышленник измен€ет хран€щиес€ в кэше данные и сбивают пользователей с курса. Ќапример, IP-адрес www.youtube.com может быть заменен на IP-адрес вредоносного сайта.  огда пользователь отправл€ет запрос в DNS дл€ youtube.com, сервер теперь возвращает неверный IP-адрес. ¬ результате чего пользователи попадают на тот веб-сайт, который они не хотели посещать и станов€тс€ мишенью дл€ хакеров.

Ќесмотр€ на то, что ведение журнала отладки DNS повышает уровень безопасности, некоторые системные администраторы решают этим пренебречь. ќсновна€ причина такого решени€ Ц повышение производительности. ќтслеживание сетевой активности может помочь вам обнаружить некоторые атаки, такие как DDoS, но не отравление кэша. ѕоэтому мы насто€тельно рекомендуем использовать ведение журналов отладки DNS.

Ѕлокировка кэша DNS

¬с€кий раз, когда по€вл€етс€ запрос от клиента, DNS находит информацию и сохран€ет ее в кэше дл€ будущего использовани€. Ётот процесс позвол€ет серверу быстрее отвечать на одни и те же запросы. «лоумышленники могут воспользоватьс€ этой функцией путем изменени€ сохраненной информации.

—ледующий шаг после использовани€ журналов отладки DNS Ц это блокировка кэша DNS. Ёто функци€ определ€ет, когда кэшированные данные могут быть изменены. —ервер хранит информацию о поиске в течение времени, определ€емого TTL (Time To Life - врем€ жизни). ≈сли блокировка кэша не используетс€, то информаци€ может быть перезаписана до истечени€ TTL. Ёто оставл€ет место дл€ атак с отравлением кэша.

¬ некоторых операционных системах блокировка кэша может быть включена по умолчанию. ћасштаб блокировки кэша может достигать 100%.  огда установлено значение 70, то перезапись данных невозможна до истечени€ 70% TTL. ѕри определении блокировки кэша равным 100 изменение кэшированной информации блокируетс€ до истечени€ всего TTL.

Lock DNS Cache

‘ильтраци€ DNS-запросов дл€ блокировки вредоносных доменов

‘ильтраци€ DNS Ц это эффективный способ ограничить доступ пользователей к веб-сайту или домену. ќсновна€ причина дл€ блокировки разрешени€ имен дл€ домена Ц наличие информации о вредоносности этого домена.  огда клиент отправл€ет запрос на заблокированный веб-сайт, DNS-сервер прекращает любую св€зь между ними.

DNS-фильтраци€ значительно снижает веро€тность проникновени€ вирусов и вредоносных программ в вашу сеть.  огда пользователь не может получить доступ к вредоносной странице, то и количество угроз, которые могут проникнуть в вашу инфраструктуру, крайне мало. “аким образом, вашему IT-персоналу не требуетс€ круглосуточно работать, чтобы очищать систему от вирусов.

ѕомимо соображений безопасности, есть еще одна причина, по которой организации могут заблокировать домен Ц бизнес-политика или по соображени€м производительности. ¬ список заблокированных доменов могут входить социальные сети, азартные игры, порнографи€, страницы потокового видео или любые другие веб-сайты. DNS может фильтровать запросы по пользователю, группе или блокировать доступ дл€ всех пользователей.

—овременные системы обеспечени€ защиты ѕќ и брандмауэры имеют DNS-фильтрацию в стандартной комплектации. Ќекоторые из них предоставл€ют списки плохих доменов, которые регул€рно обновл€ютс€. ¬ы можете использовать готовое программное решение и таким образом автоматизировать фильтрацию DNS, а не добавл€ть новые записи вручную.

ѕроверка целостности данных DNS с помощью DNSSEC

ћодули безопасности службы доменных имен (DNSSEC Ц Domain Name System Security Extensions) гарантируют, что пользователи получат действительные ответы на свои запросы. ÷елостность данных достигаетс€ за счет цифровой подписи DNSSEC на данных DNS, предоставл€емых серверам имен.  огда конечный пользователь отправл€ет запрос, DNS-сервер предоставл€ет цифровую подпись с ответом. —тало быть, пользователи знают, что они получили достоверную информацию в качестве ответа на отправленный ими запрос.

Ётот дополнительный уровень безопасности помогает боротьс€ с атаками на протокол DNS. јтаки Ђспуфингаї DNS и отравлени€ кэша успешно предотвращаютс€, поскольку DNSSEC обеспечивает целостность данных и авторизацию их источника. ¬ дальнейшем пользователи будут уверены, что посещают именно те страницы, которые хотели посетить.

Ќастройка списков контрол€ доступа

—писки контрол€ доступа (ACL Ц Access Control Lists) Ц это еще один способ защиты DNS-серверов от несанкционированного доступа и атак Ђспуфингаї.   вашему основному DNS-серверу доступ должны иметь только системные и IT-администраторы. Ќастройка ACL дл€ разрешени€ вход€щих подключений к серверу имен с определенных хостов гарантирует то, что только определенна€ часть персонала сможет обращатьс€ к вашим серверам.

 роме того, ACL должны определ€ть, какие серверы могут выполн€ть передачу зон. «лоумышленники могут попытатьс€ определить настройки вашей зоны, отправив запросы на передачу зоны через вторичные DNS-серверы. ≈сли вы заблокируете все запросы на передачу зоны через вторичные серверы, то злоумышленник не сможет получить информацию о зоне. Ёта конфигураци€ не позвол€ет третьим лицам получить представление о том, как организована ваша внутренн€€ сеть.


«аключение

¬сегда есть возможности дл€ улучшени€ системной архитектуры DNS и ее безопасности. ѕосто€нные угрозы скрываютс€ и ждут, когда по€витс€ у€звимость в вашей информационной системе, чтобы воспользоватьс€ ей.

Ќо тем не менее, если вы будете следовать рекомендаци€м, описанным в данном руководстве, то вы охватите наиболее важные аспекты, которые необходимы дл€ обеспечени€ безопасности и отказоустойчивости вашей инфраструктуры DNS.


—кидки 50% в Merion Academy

¬ыбрать курс