Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Настройка DNS: внутренние и внешние серверы

Эрик Холл

Серверы службы имен доменов DNS (Domain Name Service) — мощный инструмент накопления и выдачи информации о вашей сети. С их помощью можно узнать количество хостов в вашем домене, типы оборудования и операционных систем, установленных на компьютерах, и другие важные данные. Эта информация может быть чрезвычайно полезна для внутреннего системного администрирования. Однако ею могут заинтересоваться и те, для кого она вовсе не предназначена.

Один из приемов защиты служебной информации, который мы уже рассматривали в нашем журнале*, заключался в реализации отдельных серверов DNS для внутреннего и внешнего поиска имен. На этот раз мы немного углубим данную тему, описав более подробно реализацию услуг DNS на основе двух серверов.

Первое, что захочет получить "взломщик", — это целостная картина вашей сети, которую серверы DNS вполне способны им предоставить. Ошибочно думать, что хакеры — единственные, кто интересуется вашей сетью. Торговые агенты поставщиков также желают знать, какие платформы используются в вашей фирме и кто ими управляет. Такая информация поможет им "расставить свои сети" на наиболее заинтересованных персон. Фирмы, планирующие заключить с вами какие-то сделки, могут использовать эту информацию, чтобы получить преимущество на переговорах или при других видах взаимодействия. Служба DNS предоставляет им для этого все необходимые данные.

Конечно, все это не означает, что использования серверов DNS следует избегать. Напротив, надо постараться извлечь максимум пользы от этой открытой, масштабируемой и уже достаточно испытанной службы. Однако предоставляемую ею информацию следует защитить, чтобы она не попала в руки ваших конкурентов или недоброжелателей. Лучший путь к этому — ограничить доступ к внутренней информации, оставив для внешнего мира лишь минимально необходимую ее часть.

Сравнение внутренних и внешних клиентов DNS

Проектируя реализацию службы DNS на базе двух серверов, надо помнить о том, что к внутренним и внешним клиентам DNS запрашиваемая информация поступает различными путями. Внутренние клиенты являются членами вашего домена и для обработки своих запросов будут использовать локальный DNS-сервер. Внешние клиенты DNS, скорее всего, будут находиться в другом домене и для получения информации о вашей сети использовать корневые DNS-серверы Интернет.

Но независимо от того, является клиент локальным или удаленным, он использует один и тот же механизм поиска требуемого сервера DNS. Для получения IP-адресов клиенты DNS запрашивают серверы, адреса которых содержатся в их локальном файле resolv.conf или определены аналогичным способом.

Рассмотрим пример, когда клиент ограничивается запросом к локальному серверу DNS (рис. 1). На данной схеме хост Lab01.NWC.COM запрашивает свой DNS-сервер NTAS.NWC.COM об IP-адресе хоста Lab02.NWC.COM. Поскольку требуемая информация имеется на этом локальном сервере, она сразу же передается хосту Lab01. NWC.COM.

Поиск сервера DNS в глобальной сети

Если какой-то хост запрашивает информацию об устройстве, находящемся вне локального домена, то запускается более сложный механизм опроса внешних DNS-серверов.

Рассмотрим последовательность выполняемых запросов на конкретном примере (рис. 2).

1. Хост Lab01 запрашивает свой локальный сервер NTAS об IP-адресе хоста FTP.NOVELL.COM.

2. Сервер NTAS запрашивает DNS-сервер корневого домена об IP-адресе серверов DNS, ответственных за домен СОМ.

3. Сервер NTAS запрашивает DNS-сервер домена СОМ об IP-адресе сервера домена NOVELL.COM.

4. Сервер NTAS запрашивает DNS-сервер NOVELL. COM об IP-адресе хоста FTP.NOVELL.COM.

5. Сервер NTAS возвращает адрес FTP.NOVELL.COM хосту Lab01 и сохраняет его в своем кэше для дальнейшего использования.

В том случае, если для вашего домена принято решение использовать два сервера DNS — внутренний и внешний, адрес внутреннего сервера будет указан в локальных конфигурациях клиентских хостов данного домена, а внешним сервером DNS будут пользоваться клиенты, работающие в сети Интернет и не принадлежащие вашему домену. Таким образом, с помощью двух серверов можно установить два различных описания вашей сети.

В результате ваши внутренние хосты будут обращаться к локальному серверу DNS, предоставляющему им полный неограниченный доступ к данным, относящимся к локальному домену. Если кому-то понадобится запросить внешний узел, то ваш DNS-сервер осуществит поиск от имени данного хоста, как это было описано выше.

Внешний DNS-сервер можно настроить так, чтобы он предоставлял пользователям лишь ограниченное описание вашей сети. Этот сервер станет вашим "официальным" DNS-сервером, с которым и будут работать внешние пользователи. Из его базы данных можно получить адреса общедоступных серверов вашей организации и некоторую дополнительную информацию. Обобщенная схема локальной службы DNS, реализованной с помощью двух серверов, представлена на рис. 3.

Конфигурирование внешнего сервера

Раз вы решились установить внешний сервер DNS, вам необходимо проинформировать об этом службу InterNIC. Вы можете зарегистрировать свой сервер в автоматическом режиме, воспользовавшись страницей rs.internic.net/cgi-bin/ itts. Однако, прежде чем обновлять базу данных InterNIC, вам следует подождать, пока ваши новые серверы DNS войдут в рабочий режим, так как при использовании указанного механизма регистрации нового сервера изменения принимаются почти мгновенно. После регистрации в InterNIC внешние запросы к вашим доменам будут обслуживаться новыми серверами.

Внешний сервер нужно настроить таким образом, чтобы "чужим" пользователям были видны только IP-адреса Web-, FTP- и почтового серверов (последний задается при помощи записи Mail Exchange — MX), обслуживающих ваши домены. Но, помимо этой информации, в базу данных DNS нужно обязательно занести указатель PTR для обеспечения так называемого обратного поиска (данный механизм использует домен IN-ADDR. ARPA — см. "Сети и системы связи", № 1/97, c. 106. — Прим. ред.). Если этого не сделать, вас ожидают непредвиденные потери соединений с серверами FTP, ложные сообщения об ошибках в сети и другие подобные "сюрпризы".

Степень детализации информации, содержащейся на внешнем сервере DNS, сильно зависит от того, каким образом клиенты вашей сети будут обращаться к Интернет. При непосредственном обращении каждой отдельной хост-системы к Интернет вам придется занести в базу данных внешнего сервера записи PTR для всех хостов. В случае же использования вашими клиентами proxy-серверов или шлюзов преобразования протоколов вы должны занести в базу данных записи PTR только для хостов, имеющих непосредственный доступ к Интернет.

В любом случае во внешней базе данных DNS будет содержаться лишь незначительная доля информации внутренней базы данных, благодаря чему, однажды сконфигурировав внешний сервер DNS, его будет несложно поддерживать в дальнейшем. Располагая меньшим объемом информации, ваш внешний сервер, по всей видимости, будет обрабатывать и гораздо меньший трафик, а следовательно, он потребует и меньшей вычислительной мощности. Более того, у вас появится возможность вовсе не выделять отдельного хоста под базу данных DNS, используя сервер имен вашего поставщика услуг Интернет. Это поможет вам избежать закупок дополнительного оборудования или ПО для нового сервера.

Конфигурирование внутреннего сервера

Использование вашего старого DNS-сервера в качестве внутреннего не повлечет за собой никаких особых изменений на клиентских машинах. Но если, принимая для себя конфигурацию из двух серверов, вы добавляете именно внутренний DNS-сервер, то вам необходимо обновить служебную информацию на всех хостах в вашем домене, чтобы они обращались к нему по умолчанию.

Есть еще несколько важных дополнительных настроек, которые надо выполнить на внутреннем сервере DNS. В первую очередь заблокируйте внешний доступ к корпоративному DNS-серверу. В противном случае "взломщики", проявляющие интерес к вашей организации, смогут считать требуемую им информацию, просто указав на ваш внутренний сервер DNS. Чтобы предотвратить это, надо соответствующим образом настроить фильтрацию трафика TCP/UDP в вашей системе firewall.

Правда, конфигурирование системы firewall для правильной работы с запросами DNS может оказаться достаточно сложным. Ведь вам необходимо блокировать запросы, приходящие от внешних клиентов, и при этом разрешить прохождение результатов запросов вашего сервера из внешней сети через защитную систему. Каждый брандмауэр по-своему справляется с этой задачей, поэтому все множество вариантов ее решения мы не можем перечислить в рамках данной статьи. Убедитесь, что вы понимаете особенности реализации вашей системы firewall, прежде чем "изолировать" внутренний DNS-сервер от внешнего мира


распечатать статью




  
4 '1997
СОДЕРЖАНИЕ

колонка редактора

• Lucent открывает для сетей врата ада

локальные сети

• Серверы с процессорами Pentium Pro

• Телекоммуникационные системы: электромагнитные помехи и электромагнитная совместимость

• Сетевые операционные системы

• Самая легкая в мире оптимизация сервера

• Оборудование и ПО: проблема выбора фирмы-поставщика

корпоративные сети

• Как снять синдром технологического "похмелья"

• Развитие систем электронных сообщений

услуги сетей связи

• Учрежденческие системы внутренней связи

• Построение транспортных сетей на основе Синхронной Цифровой Иерархии

• Инверсное мультиплексирование линий ISDN

• Управляемые модемные шасси

интернет и интрасети

• СУБД-технологии для российских Web-узлов

• Настройка DNS: внутренние и внешние серверы

• Система R/3: структура и перспективы развития

• 32-разрядные пакеты программ TCP/IP

защита данных

• ИБП для серверных комнат

• "Керберос": деталь в головоломке сетевой безопасности

новые продукты

• Модуль VoicePlus для коммутаторов ForeRunner, Сетевой анализатор — это все, чего я хочу; Symmetra: масштабируемость и надежность; NetEye 200 — компактная фотокамера с Web-сервером;

только на сервере

• Доступ к информации по протоколу LDAP

• Война браузеров, или Почему Microsoft победит Netscape



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх