Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

DNS в развитии

Грег Шипли

Службы имен доменов (DNS) имеют много общего с авиадиспетчерскими службами — о тех и других вспоминают только тогда, когда что-то случается. Для новичка DNS ассоциируется с ворохом странного вида текстовых файлов и непонятными правилами работы. И хотя для посвященных людей туман, окутывающий DNS, немного рассеивается, администрировать эти службы — задача не из легких. Надеемся, знакомство с последними наработками в данной области поможет сетевым администраторам создавать более эффективные, стабильные и безопасные среды DNS.

Сети IP тесно связаны с системами Unix, поэтому неудивительно, что большинство применяемых сегодня служб DNS работают под управлением именно этих систем. На сегодня для большинства сетевых администраторов наиболее предпочтительным пакетом DNS остается продукт Berkeley Internet Name Domain (BIND) версии 4.9. Однако Консорциум по программным средствам Интернет (Internet Software Consortium — ISC), занимающийся поддержкой пакета BIND, приостановил дальнейшую разработку модификаций версии 4 и усиленно агитирует переходить на последнюю версию своей бесплатно распространяемой реализации DNS — BIND 8. По функциональным возможностям эта версия существенно превосходит все модификации BIND 4.х, обеспечивая динамическое обновление баз данных DNS, оповещение об изменении их содержимого (согласно RFC 1996), поддержку протокола IPv6 и более высокую производительность. Кроме того, в ней имеются усовершенствованные средства обеспечения безопасности. (Более подробно с BIND 8 можно ознакомиться в Интернет по адресу http://www.isc.org.)

Пакет BIND 8 привносит некоторые изменения в традиционную модель DNS. Если в BIND 4 предполагается деление серверов имен на три категории: первичные, вторичные и кэширующие, то в BIND 8 используется структурная модель “ведущий—ведомый” (“master—slave”). Ведущие серверы содержат оригинал зональной информации (зона — часть иерархии DNS. — Прим. ред.), а ведомые — хранят ее копии. Поддержка дополнительных возможностей в BIND 8 потребовала изменения формата традиционного файла named.boot. Но не пугайтесь: чтобы упростить процедуру преобразования данных по большому числу зон в формат BIND 8, консорциум ISC включил в пакет программ сценарий named-bootconf, написанный на языке Perl. Когда мы переходили на BIND 8, то использовали этот сценарий, и он не подвел нас, успешно преобразовав все наши данные в новый формат.

Одна из причин, стимулирующих переход на восьмую версию BIND, — значительное усовершенствование в ней механизмов, связанных с пересылкой зональной информации. В предыдущих версиях DNS проверка информации на первичном сервере выполнялась вторичным сервером через заданный интервал времени. В зависимости от его величины информация вторичного сервера могла в течение нескольких часов, или даже дней, расходиться с информацией первичного. Использование службой BIND 8 служебного сообщения NOTIFY (RFC 1996) гарантирует более оперативное обновление данных. При изменении зональной информации ведущий сервер, использующий программу BIND 8, автоматически посылает сообщение NOTIFY своему ведомому серверу, который “просматривает” эти изменения и при необходимости инициирует пересылку информации. Еще одно улучшение (оно имеется и в исправленных версиях BIND 4) заключается в повышении эффективности самой процедуры пересылки: если раньше каждая ресурсная запись передавалась отдельно (в своем сообщении DNS), то теперь максимально возможное число записей пересылается вместе.

Как и в некоторых других недавно появившихся пакетах DNS, в BIND 8 используется механизм динамического обновления Dynamic DNS (DDNS), определенный в RFC 2136 и часто называемый “хорошо сработанной службой WINS (Windows Internet Naming System)”. Этот механизм предусматривает динамическое обновление ресурсных записей определенной зоны DNS внешними хостами или процессами. Клиенты с функцией DDNS могут сами обновлять записи локальных серверов имен, однако более надежное решение базируется на интеграции служб DHCP и DNS (рис. 1). В этом случае серверы DHCP, поддерживающие DDNS, посылают на соответствующий сервер DNS сведения для обновления записей, включающие имена NetBIOS клиентов DHCP. Запись обновляется только после согласования IP-лицензии (выделения адреса IP), а по истечении ее срока действия прежнее содержимое записи восстанавливается. Подобная интеграция DNS c DHCP предоставляет в руки сетевым администраторам эффективные средства для автоматизации процедуры конфигурирования хостов IP.

Подход Microsoft

Хотя функциональные возможности предлагаемого в настоящее время фирмой Microsoft сервера DNS весьма ограниченны, в его следующей версии, которая войдет в состав сервера Windows 2000 (ранее известного как Windows NT 5.0), будет содержаться долгожданная интеграция механизмов DDNS и DHCP. В нашей лаборатории мы запускали сервер DNS, входящий во вторую бета-версию Windows 2000, и нашли его работу на удивление хорошей. Активизация механизма DDNS в составе службы DNS системы Windows 2000 осуществляется просто, но, к сожалению, так же просто им разрешается прием динамических обновлений без каких-либо ограничений. Кроме того, по нашему мнению, эта служба DNS не обеспечивает столь высокую степень детализации контроля, которая присуща BIND 8 и используется для ограничения диапазона обслуживаемых адресов IP.

Оставив на некоторое время в стороне проблемы безопасности, связанные с применением механизма DDNS, заметим, что его интеграция с DHCP будет полезна во многих гетерогенных сетевых средах. Например, в любой базирующейся на службе DHCP сети NetWare, которая использует Proxy Server фирмы Microsoft, нередко возникают проблемы во время регистрации сетевых объектов. При отсутствии единой службы справочника регистрация происходит на основании IP-адресов, а они часто назначаются динамически. Интегрируя сервисы DDNS и DHCP, можно регистрировать рабочие станции пользователей по их именам NetBIOS, используя для этого механизм обратного поиска DNS. До сих пор сетевые администраторы не располагали основанными на DNS средствами, которые бы осуществляли конвертацию между именами пользователей и IP-адресами, но, по-видимому, скоро такие средства появятся.

Положительным является и то, что механизм DDNS позволит постепенно отказаться от псевдодинамической службы WINS. Надо сказать, что при использовании этой службы в крупных сетях ее плохая масштабируемость и анархическая конструкция порой доводит сетевых администраторов “до ручки”. Хотя в общем случае WINS далеко не самое лучшее средство для реализации службы имен в корпоративных сетях, до выпуска и широкого распространения ОС Windows 2000 (и ее отхода от WINS) эту службу по-прежнему будут использовать в крупных сетях.

К чести Microsoft, службы DNS и DHCP ее операционной системы Windows 2000, по-видимому, будут функционально совместимыми с серверами имен, основанными на BIND 8. Однако, не изменив и здесь своим традициям, фирма Microsoft добавила-таки в эти службы свои собственные ресурсные записи.

Novell — за совместимость

Все, кто ранее испытывал неудобства, связанные с несколько пародийной реализацией службы DNS в ОС NetWare 4, будут обрадованы новыми возможностями служб DHCP/DNS, которые предлагает фирма Novell. Реализация таких мощных и основанных на стандартах функций, как полная совместимость с BIND 4.9.6, использование сообщений NOTIFY и механизма DDNS, а также тесная интеграция DNS со службой справочника Novell (NDS) вновь восстановили пошатнувшийся было авторитет Novell.

Вызывает уважение стремление фирмы поддерживать стандарты и обеспечивать совместимость своих служб со службами других производителей. Службу NDS можно использовать для дублирования зональных данных серверов DNS, а сам сервер DNS в составе NetWare 5 будет работать с BIND и любыми другими серверами имен, основанными на стандартах. Такая совместимость гарантирует тесную интеграцию сетевых служб в гетерогенных средах и делает средства NDS доступными другим службам.

Менеджер DHCP/DNS фирмы Novell представляет собой основанное на языке Java графическое средство, обеспечивающее администрирование обеих служб. Как и в случае с Windows 2000, входящий в состав NetWare 5.0 сервер DHCP поддерживает механизм динамического обновления зональных данных DDNS. Единственная наша претензия к этим службам состоит в том, что, хотя они и администрируются посредством основанного на Java графического интерфейса, этот инструмент является Java-приложением, а не апплетом. Поэтому в какой-то степени он оказывается платформозависимым. Правда, представители Novell пообещали устранить этот недостаток в самое ближайшее время.

За семью замками

Администраторы серверов DNS должны решать уйму задач, связанных с обеспечением безопасности: от ограничений на пересылку зональной информации до предупреждения утечки информации из баз данных внутренних серверов NDS. Последняя версия службы BIND располагает значительно более мощными средствами для обеспечения безопасности, причем одни новшества уже реализованы, а другие — появятся в недалеком будущем. Новые службы DNS фирм Microsoft и Novell менее гибкие, но и в них есть достаточно развитые средства безопасности.

Независимо от того, охватывает ли ваша служба DNS одну единственную зону вашего предприятия или сотни зон ваших клиентов, свободная несанкционированная передача зональной информации — это сущая глупость. Достаточно сказать, что самым распространенным методом, который используют хакеры для получения топологической карты облюбованной ими сети, является не что иное, как так называемый “демпинг сервера имен”. И с этим, конечно, можно и нужно бороться. Используя команду allow-transfer службы BIND 8 или эквивалентную ей команду xfrnets службы BIND 4, администраторы могут наделять правами передачи зональной информации лишь отдельные хосты или подсети. Обычно эти права получают только вторичные или ведомые серверы. В BIND 8 предусмотрен более тонкий, позоновый, контроль по наделению хостов такими правами. И это еще один фактор в пользу перехода на новую версию.

Если Windows NT 4.х предоставляет хоть какие-то средства контроля за пересылкой зональной информации, основанные, например, на использовании установок реестра SecureSecondaries, то система NetWare 4 здесь практически бесполезна. В новых версиях этих систем (Windows 2000 и NetWare 5) предусмотрены более мощные средства ограничения пересылки зональной информации, но и они значительно уступают средствам BIND 8.

Пакет BIND 8 лидирует также в вопросах защиты внутренних, частных, адресов IP. Некоторые организации используют в своих корпоративных сетях один или несколько зарезервированных блоков адресов, определенных в документе RFC 1918. Согласно данному документу, справки о внутренних адресах (например, в виде ресурсных записей DNS) должны передаваться только внутри корпоративной сети, а поставщикам услуг Интернет нужно применять все средства, чтобы не допустить утечки этой информации во “внешний мир”. Следуя рекомендациям RFC 1918, многие сетевые администраторы предпочитают “расщеплять” службу DNS, т. е. устанавливать внутренние серверы имен для “внутреннего пользования” и внешние серверы для “общения” с Интернет. Чтобы оградить внутренние серверы DNS от внешних запросов, можно использовать опцию allow-query пакета BIND 8, позволяющую устанавливать ограничения на обслуживание DNS-запросов для каждого сервера или зоны. Ограничения могут применяться либо к отдельному хосту, либо к некоторой области сети, что является существенным улучшением пакета BIND 8 по сравнению с его прежними версиями. Ни Windows 2000, ни NetWare не обеспечивают такой детализации при установке ограничений на обслуживание запросов DNS.

При использовании механизма DDNS также возникает ряд вопросов, связанных с безопасностью. Документ RFC 2137 предусматривает использование цифровых подписей для обеспечения безопасного обновления информации при работе в динамической среде DNS. Но ни одна из рассмотренных нами служб DNS (Windows 2000, NetWare 5 и BIND 8) не поддерживает такие подписи. Впрочем, консорциум ISC уже ведет работу по реализации требований RFC 2137 в следующей версии BIND 8.

Учитывая тот факт, что в последнее время на серверах BIND корневых доменов были обнаружены “дыры”, которыми могут воспользоваться злоумышленники, администраторы, обслуживающие серверы BIND 4.х, должны перейти на новую версию программы или, по крайней мере, воспользоваться “заплатами” (patch) к уже работающей версии. Сделать это надо как можно скорее, чтобы оградить себя от вторжения непрошеных гостей.

Там, за горизонтом

В своем стремлении поддержать создание единой надежной и безопасной службы DNS фирмы Digital Equipment (в составе Compaq), Hewlett-Packard, IBM, Silicon Graphics и Sun Microsystems финансируют работы консорциума ISC, направленные на создание более совершенной версии BIND, выпуск которой намечен на этот год. В ней должны быть реализованы средства для более эффективного обслуживания больших зон, поддержки многопроцессорности, цифровых подписей, схем шифрования на основе алгоритмов RSA и DSA (Digital Signature Algorithm), а также усилены другие слабые места служб DNS.

Большинство недавно появившихся функций DNS уже реализованы в программных продуктах, но Инженерная проблемная группа Интернет (IETF) не дает программистам расслабиться и продолжает работать над целым рядом новшеств. Следует отметить ее начинания, касающиеся применения DNS для создания инфраструктуры использования открытых ключей шифрования (PKI). Одной из проблем, охвативших Интернет в последнее время, является DNS-спуфинг (имитация работы DNS). Устранить ее призван специально разработанный метод транзакционных подписей (Transaction SIGnature — TSIG). Он даст возможность передавать клиентам ответы, удостоверенные подписями известных полномочных серверов DNS (рис. 2), исключая малейшие сомнения в подлинности этих ответов. Несмотря на то, что метод TSIG связан с передачей дополнительной служебной информации, он способен принести несомненную пользу сообществу пользователей Интернет.

И хотя многие из рассмотренных выше средств еще находятся в “детском возрасте”, сетевые администраторы просто обязаны внимательно следить за самыми последними техническими разработками, чтобы всегда быть готовыми эффективно решать новые задачи. Развертывая службу DNS в сети масштаба предприятия, вы должны прежде всего тщательно взвесить функциональные возможности тех или иных программных пакетов и понять выгоды, которые вы получите в результате их внедрения. К счастью, DNS относится к числу немногих служб, довольно хорошо работающих в гетерогенной среде. Например, нам удалось интегрировать пакет BIND 8, работающий в среде RedHat Linux, со службой DHCP системы Windows 2000 и заставить их обслуживать несколько зон, управляемых NetWare 5. Реальная работа этой “адской смеси” еще раз говорит о том, что правильное использование стандартов неизбежно приносит свои плоды.





  
4 '1999
СОДЕРЖАНИЕ

колонка редактора

• Генералы информационных карьеров

локальные сети

• Пользователям Windows NT стоит обратить внимание

• Синхронизируйте время с помощью NTP

• Дефицит пожаростойких кабелей

• Будущее стандартов СКС

бизнес

• Стандарты ISO 9000: мифы и реальность

интернет и интрасети

• DNS в развитии

• Четыре В2В-решения для электронной коммерции

защита данных

• Управление безопасностью: свет в конце туннеля

• Как выбрать подходящий ИБП?

корпоративные сети

• Потоковые видеосистемы нового поколения

• Магистраль вашего бизнеса

• В поисках связующего ПО для Web

услуги сетей связи

• Рассылка факсов по сетям передачи данных

• Что нужно для успешного внедрения IP-телефонии

• Рязань: интеграция услуг на ТЧ-каналах

• Во имя третьего поколения

системы учрежденческой связи

• АТС для малого и среднего бизнеса: архитектура и сетевые возможности

новые продукты

• Мощный универсальный сервер от HP; «Малыш» CoreBuilder 9000



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх