Przekierowanie DNS pomaga przyspieszyć działanie sieci i należy je wdrożyć, jeśli użytkownicy żądają nazwy domeny, ale ich serwer DNS nie może znaleźć odpowiedniego adresu IP w pamięci podręcznej. Firmy z rozległymi przestrzeniami nazw często korzystają z tego procesu.
Czytaj dalej bloga, aby dowiedzieć się, czym jest przekierowanie DNS i jak jest ono używane dla adresów zewnętrznych i wewnętrznych.
Co to jest DNS Forwarding?
Przekazywanie DNS jest procesem, w którym inny wyznaczony serwer (root hint server) obsługuje nierozwiązywalne adresy lub zapytania DNS, ponieważ początkowo skontaktowany serwer nie ma odpowiedzi. Ogólnie rzecz biorąc, wszystkie serwery przeznaczone do konwersji nazw domen na adresy IP mają przypisany konkretny forwarder do przekazywania wszystkich żądań, których nie mogą rozwiązać.
Technika ta jest wykorzystywana przez firmy posiadające bardzo duże przestrzenie nazw lub firmy współpracujące, ponieważ mogą one rozwiązywać wzajemnie swoje przestrzenie nazw.
Czym jest DNS Fowarder?
DNS forwarder to serwer DNS skonfigurowany do przekazywania zapytań, których nie można rozwiązać lokalnie, do innego serwera DNS, zwykle zewnętrznego. Ten przekazujący serwer DNS zwykle działa jako serwer pośredniczący, który jest odpowiedzialny za przekazywanie żądań DNS do bardziej autorytatywnego serwera DNS w celu skutecznego rozwiązywania zapytań.
Jak działa przekierowanie DNS?
Teraz zobaczmy procedurę działania DNS forwarding.
Gdy wewnętrzne informacje DNS są prywatne, mogą być przekazywane online, jeśli główny serwer podpowiedzi jest wystawiony na widok publiczny, ponieważ w sieci wewnętrznej nie jest używany przekierowanie DNS. Możesz również użyć go, jeśli opłaty ISP w Twojej sieci są ciężkie lub połączenie nie jest szybkie z powodu braku wewnętrznego przekierowania DNS. Dzieje się tak dlatego, że wewnętrzny DNS forwarder zwiększa ruch zewnętrzny, co komplikuje jego obsługę.
Użycie forwardera DNS pomoże zbudować wewnętrzną pamięć podręczną dla zewnętrznych danych DNS, aby zmniejszyć zewnętrzny ruch DNS.
Typy przekazywania DNS
Omówmy 2 podstawowe typy przekierowań DNS i sposób działania każdego z nich:
1. Przekazywanie warunkowe
Przekazywanie warunkowe DNS odbywa się przy użyciu serwerów DNS, które przekazują zapytania dla określonych nazw domen zamiast przekazywać wszystkie zapytania. Wysyłają one zapytania do określonych forwarderów w zależności od nazw hostów wymienionych w zapytaniu. Przekazywanie warunkowe DNS usprawnia konwencjonalne przekazywanie, dodając do procesu warunek oparty na nazwie. Przekierowanie warunkowe DNS jest korzystne, ponieważ zapewnia bezpieczniejsze, szybsze i bardziej niezawodne połączenie internetowe. W tym przypadku serwer DNS wysyła rekursywne zapytania do forwardera.
2. Przekazywanie rekursywne
W tym typie przekazywania DNS serwer DNS przekazuje zapytanie do innego serwera DNS. Drugi serwer przeprowadza rekursywne wyszukiwanie w celu rozwiązania zapytania. Przypadkiem użycia jest sytuacja, w której serwer DNS przekazuje zapytania do centralnego serwera DNS w celu rozwiązania.
Przekazywanie a buforowanie
W przekierowaniu DNS serwer DNS wysyła zapytania klientów, których nie może rozwiązać bezpośrednio, do innego serwera DNS (forwardera). Służy to do odciążenia zadań rozwiązywania zapytań lub do wdrożenia określonych zasad routingu zapytań.
Buforowanie DNS polega na tymczasowym przechowywaniu wyników poprzednich zapytań w celu zmniejszenia opóźnień i poprawy wydajności. Gdy serwer DNS ma rekord w pamięci podręcznej, obsługuje zapytanie natychmiast, zamiast je przekierowywać.
Korzyści z przekierowania DNS
Przyjrzyjmy się różnym zaletom przekierowania DNS:
1. Zwiększona wydajność zapytań
Przekazywanie zapytań do określonego serwera DNS znacznie skraca czas zapytań i promuje znacznie szybsze odpowiedzi, zmniejszając również opóźnienia.
2. Scentralizowane zarządzanie
Przekazywanie DNS upraszcza zarządzanie DNS. Jest to szczególnie korzystne w dużych organizacjach, ponieważ pozwala administratorom scentralizować i kontrolować rozwiązywanie zapytań DNS poprzez przypisanie kilku wyznaczonych serwerów DNS.
3. Bezpieczeństwo
Przekazywanie zapytań DNS do bezpiecznego i zaufanego serwera DNS pomaga zapobiegać cyberatakom, takim jak ataki DNS spoofing.
4. Równoważenie obciążenia
Rozdzielając zadania rozwiązywania zapytań na wyznaczone serwery DNS, przekierowanie DNS może pomóc zrównoważyć obciążenie sieci. Ostatecznie zapobiega to przeciążeniu pojedynczego serwera DNS.
5. Obsługa wielu domen
W przypadku organizacji z wieloma domenami wewnętrznymi lub zewnętrznymi przekierowanie warunkowe umożliwia płynne rozwiązywanie zapytań specyficznych dla domeny.
Jak skonfigurować DNS Forwarders na Microsoft Windows Server 2008 R2 i 2016?
Przed rozpoczęciem procedury konfigurowania przekierowania DNS należy zanotować adres IP rekurencyjnych serwerów DNS SIA i upewnić się, że skonfigurowano plik główny. An Wyszukiwarka adresów IP może pomóc w łatwym zlokalizowaniu adresu IP własnej domeny. Plik podpowiedzi root zawiera listę głównych serwerów DNS, z którymi domena Active Directory kontaktuje się w przypadku zapytań rekursywnych. Można to zrobić za pomocą graficznego interfejsu użytkownika systemu Windows Server lub wiersza poleceń.
Graficzny interfejs użytkownika
Możesz wykonać poniższe kroki, aby skonfigurować forwardery DNS w systemie Windows za pomocą graficznego interfejsu użytkownika.
- Kliknij Start i przejdź do Narzędzia administracyjne > DNS.
- Kliknij prawym przyciskiem myszy serwer DNS, który chcesz skonfigurować jako forwarder.
- Przejdź do menu akcji i kliknij zakładkę "Właściwości".
- Wybierz zakładkę Forwarders.
- Kliknij przycisk Edytuj.
- W oknie dialogowym Edit Forwarders wprowadź podstawowy adres IP rekurencyjnego serwera DNS SIA i naciśnij klawisz Enter.
- Dodaj wtórny adres IP rekurencyjnego serwera DNS SIA i naciśnij Enter.
- Usuń inne serwery, które są wymienione jako forwardery. Zachowaj tylko podstawowy i drugorzędny rekurencyjny serwer DNS na liście forwarderów.
- Dodaj wartość w sekcji Number of seconds before the forward queries times out, aby przypisać liczbę sekund, przez które serwer DNS czeka na odpowiedź.
- Kliknij przycisk OK.
- Włącz opcję "Use Root Hint if no forwarders are available". Opcja ta zapewnia, że serwery DNS w pliku podpowiedzi głównych rozpoznają nazwę lokalnie.
- W oknie dialogowym właściwości kliknij przycisk OK.
Interfejs wiersza poleceń
Wykonaj poniższe kroki, aby skonfigurować przekierowanie DNS w systemie Windows za pomocą interfejsu wiersza poleceń.
- Otwórz następujący wiersz polecenia. Należy pamiętać, że polecenie to powinno zostać uruchomione jako administrator.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Gdzie:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- Każdy adres IP należy oddzielić spacją.
- <Time> refers to the time-out settings time. It is calculated in seconds.
Przekazywanie DNS dla adresów zewnętrznych
Przekierowanie DNS jest ważne, ponieważ jeśli nie ma wyznaczonego serwera DNS jako forwardera, do którego kierowane są wszystkie zewnętrzne zapytania, wszystkie wewnętrzne serwery DNS muszą obsługiwać żądania. Jest to niepożądane, ponieważ:
- Jeśli DNS nie jest wyraźnie oddzielony jako zewnętrzny i wewnętrzny, całkiem możliwe jest wyciek wewnętrznych danych DNS.
- Obciążenie ruchu wzrasta, jeśli nie zaimplantowałeś przekierowania DNS. Kiedy wyznaczysz serwer DNS jako forwarder, obsługuje on wszystkie zewnętrzne rozdzielczości DNS i tworzy pamięć podręczną adresów zewnętrznych, aby zminimalizować liczbę zapytań rekursywnych, zmniejszając w ten sposób ruch.
Jeśli Twoja firma jest mała i ma ograniczoną przepustowość, sugerowanie przekierowania DNS może sprawić, że sieć będzie bardziej wydajna i szybsza.
Przekazywanie DNS dla adresów wewnętrznych
Eksperci zalecają, aby podzbiór adresów wewnętrznych był obsługiwany przez przekierowanie DNS. Ponadto, w przypadku rozległych intranetów, w tym kilku domen i subdomen, praktyczne jest, aby żądania DNS dla podzbioru tych domen były kontrolowane przez dedykowany serwer. Żądania te są zazwyczaj przekazywane zgodnie z zasadą warunkowego przekazywania DNS.
Najlepsze praktyki dotyczące przekierowania DNS
DNS jest kluczowy w dzisiejszym świecie napędzanym przez Internet. Jeśli masz tylko jeden serwer DNS, powinien on być skonfigurowany jako forwarder. Jeśli masz więcej niż jeden, wtedy możesz skonfigurować jeden z nich, niektóre z nich lub wszystkie jako forwardery. Oprócz tego, możesz przestrzegać poniższych praktyk, aby zapewnić optymalne działanie forwarderów DNS.
Wyłączenie rekurencji
Rekursja pozwala serwerom DNS na odpytywanie innych serwerów w imieniu klienta. Pomaga to w procesie przekierowania DNS, ale również naraża sieć na zagrożenia bezpieczeństwa. Tak więc, jeśli wyłączysz ją, możliwość zostania zaatakowanym maleje. Zmniejszy to również obciążenie ruchu, a Twoja sieć stanie się szybsza.
Włącz walidację DNSSEC
DNSSEC lub Domain Name System Security Extensions to protokoły bezpieczeństwa, które chronią przed spoofingiem DNS i atakami zatruwającymi pamięć podręczną. Jeśli jest włączony, forwardery DNS sprawdzają podpisy cyfrowe. Jeśli podpis nie jest zgodny, odpowiedź jest odrzucana, a do klienta wysyłany jest komunikat o błędzie.
Należy jednak korzystać z niego wyłącznie za pośrednictwem bezpiecznego połączenia. W przeciwnym razie hakerzy mogą przechwycić i zmodyfikować wymieniane dane.
Monitorowanie serwerów DNS
Regularny monitoring serwerów DNS ostrzega o potencjalnych problemach technicznych, umożliwiając podjęcie szybkich działań. W ten sposób redukujesz przestoje, które w przeciwnym razie mogą mocno wpłynąć na Twój biznes.
Powinieneś także sprawdzać dzienniki forwarderów DNS, aby zauważyć podejrzane działania lub nieodpowiedzialne zachowanie użytkowników, aby wyprzedzić potencjalne zagrożenia bezpieczeństwa.
Tworzenie i testowanie konfiguracji alternatywnej
Alternatywna konfiguracja pozwoli Ci na przełączenie się na inny forwarder w przypadku awarii. To ponownie zmniejszy przestoje i utrzyma dostępność Twoich zasobów. Nie pomijaj testowania alternatywnej konfiguracji przed ustanowieniem nowej konfiguracji.
Regularne tworzenie kopii zapasowych danych serwera DNS
Złośliwe podmioty atakują Twój serwer i próbują modyfikować lub usuwać dane. Tworzenie kopii zapasowych danych serwera DNS pozwala na ich szybkie przywrócenie bez zakłócania ruchu w sieci. Bez kopii zapasowych przywrócenie wszystkiego zajmie godziny, a nawet dni, co będzie miało duży wpływ na działalność firmy.
- Wzrost liczby oszustw pod pretekstem w ulepszonych atakach phishingowych - 15 stycznia 2025 r.
- DMARC staje się obowiązkowy dla branży kart płatniczych od 2025 roku - 12 stycznia 2025 r.
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 11 stycznia 2025 r.