Czym jest przekierowanie DNS i jego 5 najważniejszych zalet

Blog

Czytaj dalej, aby zrozumieć przekierowanie DNS, jego rodzaje i najlepsze praktyki w celu zwiększenia wydajności, efektywności i bezpieczeństwa sieci.

przez Ahona Rudra

Ostatnia aktualizacja:
Czas odczytu: 7 min
Czym jest przekierowanie DNS i jego 5 najważniejszych zalet
Spis treści-

Przekierowanie DNS pomaga przyspieszyć działanie sieci i należy je wdrożyć, jeśli użytkownicy żądają nazwy domeny, ale ich serwer DNS nie może znaleźć odpowiedniego adresu IP w pamięci podręcznej. Firmy z rozległymi przestrzeniami nazw często korzystają z tego procesu.

Czytaj dalej bloga, aby dowiedzieć się, czym jest przekierowanie DNS i jak jest ono używane dla adresów zewnętrznych i wewnętrznych. 

Kluczowe wnioski

  1. Przekierowanie DNS wysyła nierozwiązane zapytania do innego serwera w celu ich rozwiązania, co jest idealnym rozwiązaniem dla dużych lub współpracujących sieci.
  2. Przekierowanie warunkowe dotyczy określonych domen, podczas gdy przekierowanie rekurencyjne przekazuje zapytania do rozwiązania do innego serwera.
  3. Zwiększa wydajność zapytań, centralizuje zarządzanie, zwiększa bezpieczeństwo, równoważy obciążenie i obsługuje konfiguracje z wieloma domenami.
  4. Zmniejsza ruch zewnętrzny i poprawia wydajność poprzez przekazywanie określonych zapytań do dedykowanych serwerów.
  5. Wyłącz rekurencję, włącz DNSSEC, monitoruj serwery, twórz alternatywne konfiguracje i regularnie twórz kopie zapasowe danych DNS.

Co to jest DNS Forwarding?

Przekazywanie DNS jest procesem, w którym inny wyznaczony serwer (root hint server) obsługuje nierozwiązywalne adresy lub zapytania DNS, ponieważ początkowo skontaktowany serwer nie ma odpowiedzi. Ogólnie rzecz biorąc, wszystkie serwery przeznaczone do konwersji nazw domen na adresy IP mają przypisany konkretny forwarder do przekazywania wszystkich żądań, których nie mogą rozwiązać. 

Technika ta jest wykorzystywana przez firmy posiadające bardzo duże przestrzenie nazw lub firmy współpracujące, ponieważ mogą one rozwiązywać wzajemnie swoje przestrzenie nazw. 

Uprość DMARC dzięki PowerDMARC!

15-dniowy trialZamów demo

Co to jest DNS Forwarder?

DNS forwarder to serwer DNS skonfigurowany do przekazywania zapytań, których nie można rozwiązać lokalnie, do innego serwera DNS, zwykle zewnętrznego. Ten przekazujący serwer DNS zwykle działa jako serwer pośredniczący, który jest odpowiedzialny za przekazywanie żądań DNS do bardziej autorytatywnego serwera DNS w celu skutecznego rozwiązywania zapytań. 

Jak działa przekierowanie DNS?

Teraz zobaczmy procedurę działania DNS forwarding.

Gdy wewnętrzne informacje DNS są prywatne, mogą być przekazywane online, jeśli główny serwer podpowiedzi jest wystawiony na widok publiczny, ponieważ w sieci wewnętrznej nie jest używany przekierowanie DNS. Możesz również użyć go, jeśli opłaty ISP w Twojej sieci są ciężkie lub połączenie nie jest szybkie z powodu braku wewnętrznego przekierowania DNS. Dzieje się tak dlatego, że wewnętrzny DNS forwarder zwiększa ruch zewnętrzny, co komplikuje jego obsługę. 

Użycie forwardera DNS pomoże zbudować wewnętrzną pamięć podręczną dla zewnętrznych danych DNS, aby zmniejszyć zewnętrzny ruch DNS. 

Typy przekazywania DNS

Omówmy 2 podstawowe typy przekierowań DNS i sposób działania każdego z nich: 

1. Przekazywanie warunkowe

Przekazywanie warunkowe DNS odbywa się przy użyciu serwerów DNS, które przekazują zapytania dla określonych nazw domen zamiast przekazywać wszystkie zapytania. Wysyłają one zapytania do określonych forwarderów w zależności od nazw hostów wymienionych w zapytaniu. Przekazywanie warunkowe DNS usprawnia konwencjonalne przekazywanie, dodając do procesu warunek oparty na nazwie. Przekierowanie warunkowe DNS jest korzystne, ponieważ zapewnia bezpieczniejsze, szybsze i bardziej niezawodne połączenie internetowe. W tym przypadku serwer DNS wysyła rekursywne zapytania do forwardera.

2. Przekazywanie rekursywne

W tym typie przekazywania DNS serwer DNS przekazuje zapytanie do innego serwera DNS. Drugi serwer przeprowadza rekursywne wyszukiwanie w celu rozwiązania zapytania. Przypadkiem użycia jest sytuacja, w której serwer DNS przekazuje zapytania do centralnego serwera DNS w celu rozwiązania.

Przekazywanie a buforowanie

W przekierowaniu DNS serwer DNS wysyła zapytania klientów, których nie może rozwiązać bezpośrednio, do innego serwera DNS (forwardera). Służy to do odciążenia zadań rozwiązywania zapytań lub do wdrożenia określonych zasad routingu zapytań.

Buforowanie DNS polega na tymczasowym przechowywaniu wyników poprzednich zapytań w celu zmniejszenia opóźnień i poprawy wydajności. Gdy serwer DNS ma rekord w pamięci podręcznej, obsługuje zapytanie natychmiast, zamiast je przekierowywać. 

Korzyści z przekierowania DNS

Przyjrzyjmy się różnym zaletom przekierowania DNS: 

1. Zwiększona wydajność zapytań

Przekazywanie zapytań do określonego serwera DNS znacznie skraca czas zapytań i promuje znacznie szybsze odpowiedzi, zmniejszając również opóźnienia. 

2. Scentralizowane zarządzanie

Przekazywanie DNS upraszcza zarządzanie DNS. Jest to szczególnie korzystne w dużych organizacjach, ponieważ pozwala administratorom scentralizować i kontrolować rozwiązywanie zapytań DNS poprzez przypisanie kilku wyznaczonych serwerów DNS.

3. Bezpieczeństwo

Przekazywanie zapytań DNS do bezpiecznego i zaufanego serwera DNS pomaga zapobiegać cyberatakom, takim jak ataki DNS spoofing. 

4. Równoważenie obciążenia

Rozdzielając zadania rozwiązywania zapytań na wyznaczone serwery DNS, przekierowanie DNS może pomóc zrównoważyć obciążenie sieci. Ostatecznie zapobiega to przeciążeniu pojedynczego serwera DNS. 

5. Obsługa wielu domen

W przypadku organizacji z wieloma domenami wewnętrznymi lub zewnętrznymi przekierowanie warunkowe umożliwia płynne rozwiązywanie zapytań specyficznych dla domeny. 

Jak skonfigurować usługę DNS Forwarders w systemach Microsoft Windows Server 2008 R2 i 2016

Przed rozpoczęciem procedury konfigurowania przekierowania DNS należy zanotować adres IP rekurencyjnych serwerów DNS SIA i upewnić się, że skonfigurowano plik główny. An Wyszukiwarka adresów IP może pomóc w łatwym zlokalizowaniu adresu IP własnej domeny. Plik podpowiedzi root zawiera listę głównych serwerów DNS, które mają kontakty z domeną Active Directory dla zapytań rekursywnych. Można to zrobić za pomocą graficznego interfejsu użytkownika systemu Windows Server lub wiersza poleceń.

Graficzny interfejs użytkownika

Możesz wykonać poniższe kroki, aby skonfigurować forwardery DNS w systemie Windows za pomocą graficznego interfejsu użytkownika.

  1. Kliknij Start i przejdź do Narzędzia administracyjne > DNS.
  2. Kliknij prawym przyciskiem myszy serwer DNS, który chcesz skonfigurować jako forwarder.
  3. Przejdź do menu akcji i kliknij zakładkę "Właściwości".
  4. Wybierz zakładkę Forwarders.
  5. Kliknij przycisk Edytuj.
  6. W oknie dialogowym Edit Forwarders wprowadź podstawowy adres IP rekurencyjnego serwera DNS SIA i naciśnij klawisz Enter.
  7. Dodaj wtórny adres IP rekurencyjnego serwera DNS SIA i naciśnij Enter.
  8. Sprawdź listę usług przesyłania dalej DNS i usuń inne serwery, które są wymienione jako usługi przesyłania dalej. Na liście usług przesyłania dalej DNS powinny znajdować się tylko podstawowe i drugorzędne serwery rekurencyjne.
  9. Dodaj wartość w sekcji Number of seconds before the forward queries times out, aby przypisać liczbę sekund, przez które serwer DNS czeka na odpowiedź.
  10. Kliknij przycisk OK.
  11. Włącz opcję "Use Root Hint if no forwarders are available". Opcja ta zapewnia, że serwery DNS w pliku podpowiedzi głównych rozpoznają nazwę lokalnie.
  12. W oknie dialogowym właściwości kliknij przycisk OK.

Interfejs wiersza poleceń

Wykonaj poniższe kroki, aby skonfigurować przekierowanie DNS w systemie Windows za pomocą interfejsu wiersza poleceń. 

  1. Otwórz następujący wiersz polecenia. Należy pamiętać, że polecenie to powinno zostać uruchomione jako administrator. 

Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 Gdzie: 

  • <ServerName> is the DNS server’s domain name or IP address.
  • <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. 
  • Każdy adres IP należy oddzielić spacją.
  • <Time> refers to the time-out settings time. It is calculated in seconds.

Trasy przekazywania DNS dla adresów zewnętrznych

Przekierowanie DNS jest ważne, ponieważ jeśli nie ma wyznaczonego serwera DNS jako forwardera, do którego kierowane są wszystkie zewnętrzne zapytania, wszystkie wewnętrzne serwery DNS muszą obsługiwać żądania. Jest to niepożądane, ponieważ:

  1. Jeśli trasy przekierowania DNS nie są wyraźnie oddzielone jako zewnętrzne i wewnętrzne, całkiem możliwe jest wyciek wewnętrznych danych DNS. 
  2. Obciążenie ruchu wzrasta, jeśli nie zaimplantowałeś przekierowania DNS. Kiedy wyznaczysz serwer DNS jako forwarder, obsługuje on wszystkie zewnętrzne rozdzielczości DNS i tworzy pamięć podręczną adresów zewnętrznych, aby zminimalizować liczbę zapytań rekursywnych, zmniejszając w ten sposób ruch. 

Jeśli Twoja firma jest mała i ma ograniczoną przepustowość, sugerowanie przekierowania DNS może sprawić, że sieć będzie bardziej wydajna i szybsza.

Przekazywanie DNS dla adresów wewnętrznych

Eksperci zalecają, aby podzbiór adresów wewnętrznych był obsługiwany przez przekierowanie DNS. Ponadto, w przypadku rozległych intranetów, w tym kilku domen i subdomen, praktyczne jest, aby żądania DNS dla podzbioru tych domen były kontrolowane przez dedykowany serwer. Żądania te są zazwyczaj przekazywane zgodnie z zasadą warunkowego przekazywania DNS.

Najlepsze praktyki dotyczące przekierowania DNS

DNS jest kluczowy w dzisiejszym świecie napędzanym przez Internet. Jeśli masz tylko jeden serwer DNS, powinien on być skonfigurowany jako forwarder. Jeśli masz więcej niż jeden, wtedy możesz skonfigurować jeden z nich, niektóre z nich lub wszystkie jako forwardery. Oprócz tego, możesz przestrzegać poniższych praktyk, aby zapewnić optymalne działanie forwarderów DNS. 

Wyłączenie rekurencji

Rekursja pozwala serwerom DNS na odpytywanie innych serwerów w imieniu klienta. Pomaga to w procesie przekierowania DNS, ale również naraża sieć na zagrożenia bezpieczeństwa. Tak więc, jeśli wyłączysz ją, możliwość zostania zaatakowanym maleje. Zmniejszy to również obciążenie ruchu, a Twoja sieć stanie się szybsza. 

Włącz walidację DNSSEC

DNSSEC lub Domain Name System Security Extensions to protokoły bezpieczeństwa, które chronią przed spoofingiem DNS i atakami zatruwającymi pamięć podręczną. Jeśli jest włączony, forwardery DNS sprawdzają podpisy cyfrowe. Jeśli podpis nie jest zgodny, odpowiedź jest odrzucana, a do klienta wysyłany jest komunikat o błędzie.

Należy jednak korzystać z niego wyłącznie za pośrednictwem bezpiecznego połączenia. W przeciwnym razie hakerzy mogą przechwycić i zmodyfikować wymieniane dane.

Sprawdź, czy DNSSEC jest włączony za pomocą naszego DNSSEC Checker.

Monitorowanie serwerów DNS

Regularny monitoring serwerów DNS ostrzega o potencjalnych problemach technicznych, umożliwiając podjęcie szybkich działań. W ten sposób redukujesz przestoje, które w przeciwnym razie mogą mocno wpłynąć na Twój biznes. 

Powinieneś także sprawdzać dzienniki forwarderów DNS, aby zauważyć podejrzane działania lub nieodpowiedzialne zachowanie użytkowników, aby wyprzedzić potencjalne zagrożenia bezpieczeństwa. 

Tworzenie i testowanie konfiguracji alternatywnej

Alternatywna konfiguracja pozwoli Ci na przełączenie się na inny forwarder w przypadku awarii. To ponownie zmniejszy przestoje i utrzyma dostępność Twoich zasobów. Nie pomijaj testowania alternatywnej konfiguracji przed ustanowieniem nowej konfiguracji. 

Regularne tworzenie kopii zapasowych danych serwera DNS

Złośliwe podmioty atakują Twój serwer i próbują modyfikować lub usuwać dane. Tworzenie kopii zapasowych danych serwera DNS pozwala na ich szybkie przywrócenie bez zakłócania ruchu w sieci. Bez kopii zapasowych przywrócenie wszystkiego zajmie godziny, a nawet dni, co będzie miało duży wpływ na działalność firmy.

Latest posts by Ahona Rudra (zobacz wszystkie)
Ostatnia aktualizacja:
Życie po p=reject: Dlaczego podróż DMARC jest daleka od zakończenia10 najlepszych alternatyw DMARCLY, aby zoptymalizować bezpieczeństwo poczty e-mail