Что такое переадресация DNS?

DNS-переадресация помогает ускорить работу сети, и ее следует применять, если пользователи запрашивают ваше доменное имя, но их DNS-сервер не может найти соответствующий IP-адрес в кэше. Этот процесс обычно используется компаниями, имеющими обширные пространства имен.

Продолжайте читать блог, чтобы узнать, что такое DNS-переадресация и как она используется для внешних и внутренних адресов. 

Что такое переадресация DNS?

Переадресация DNS - это процесс, в ходе которого другой назначенный сервер (корневой сервер подсказок) обрабатывает неразрешимые адреса или DNS-запросы, поскольку первоначально обратившийся к нему сервер не имеет ответа. Обычно всем серверам, предназначенным для преобразования доменных имен в IP-адреса, назначается определенный переадресатор для пересылки всех запросов, которые они не могут разрешить. 

Эта техника используется компаниями, имеющими очень большие пространства имен, или компаниями, сотрудничающими между собой, поскольку они могут разрешать пространства имен друг друга. 

Как работает переадресация DNS?

Теперь давайте посмотрим, как работает переадресация DNS.

Когда внутренняя информация DNS является частной, ее можно передавать через Интернет, если корневой сервер подсказок открыт для публичного доступа, поскольку во внутренней сети не используется DNS-форвардер. Вы также можете использовать его, если плата за услуги провайдера в вашей сети велика или соединение не является скоростным из-за отсутствия внутреннего DNS-форвардера. Это происходит потому, что внутренний DNS-форвардер увеличивает внешний трафик, что усложняет его обработку. 

Использование DNS forwarder поможет создать внутренний кэш для внешних DNS-данных, чтобы уменьшить внешний DNS-трафик. 

Как настроить переадресаторы DNS на Microsoft Windows Server 2008 R2 и 2016?

Перед началом процедуры настройки переадресации DNS запишите IP-адреса рекурсивных DNS-серверов SIA и убедитесь, что настроен корневой файл. Вы можете использовать поиск IP-адреса, чтобы найти IP-адрес вашего домена. В корневом файле подсказок перечислены корневые DNS-серверы, к которым домен active directory обращается для рекурсивных запросов. Это можно сделать с помощью графического пользовательского интерфейса Windows Server или командной строки.

Графический интерфейс пользователя

Выполните следующие шаги, чтобы настроить DNS-форвардеры в Windows с помощью графического интерфейса пользователя.

1. Нажмите на Пуск > Администрирование > DNS.
2. Щелкните правой кнопкой мыши DNS-сервер, который вы хотите настроить в качестве переадресатора.
3. Перейдите в меню Действие и выберите пункт Свойства.
4. Выберите вкладку Переадресаторы.
5. Нажмите Редактировать.
6. В диалоговом окне Edit Forwarders введите основной IP-адрес рекурсивного DNS-сервера SIA и нажмите Enter.
7. Добавьте вторичный IP-адрес рекурсивного DNS-сервера SIA и нажмите Enter.
8. Удалите другие серверы, перечисленные в списке переадресаторов. Сохраните в списке переадресаторов только первичный и вторичный рекурсивные DNS-серверы.
9. Добавьте значение в раздел Число секунд до окончания пересылки запросов, чтобы назначить количество секунд, в течение которых DNS-сервер ожидает ответа.
10. Нажмите OK.
11. Включите опцию Use Root Hints if no forwarders are available. Эта опция гарантирует, что DNS-серверы в файле корневых подсказок разрешают имя локально.
12. В диалоговом окне свойств нажмите OK.

Интерфейс командной строки

Выполните следующие шаги, чтобы настроить переадресацию DNS в Windows с помощью интерфейса командной строки. 

1. Откройте командную строку и запустите ее от имени администратора. 
2. Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 Где: 

• <ServerName> is the DNS server’s domain name or IP address.
• <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
• <Time> is the time in seconds for time-out settings.

Условная переадресация

Условная переадресация DNS осуществляется с помощью DNS-серверов, которые пересылают запросы для определенных доменных имен вместо того, чтобы пересылать все запросы. Они направляют запросы определенным переадресаторам в зависимости от имен хостов, указанных в запросе. 

Условная пересылка DNS улучшает обычную пересылку, устанавливая в процессе пересылки условие на основе имени.

Условная переадресация DNS полезна, поскольку она обеспечивает более безопасное, быстрое и надежное интернет-соединение. При этом DNS-сервер отправляет рекурсивные запросы переадресатору.

Переадресация DNS для внешних адресов

Переадресация DNS очень важна, поскольку если нет назначенного DNS-сервера, на который будут направляться все внешние запросы, то все внутренние DNS-серверы вынуждены обрабатывать запросы. Это нежелательно, поскольку:

1. Данные внутреннего DNS могут быть утечены, если не различать внешний и внутренний DNS. Это тревожная потенциальная уязвимость безопасности и конфиденциальности.
2. Нагрузка на трафик возрастает, если вы не включили переадресацию DNS. Когда вы назначаете DNS-сервер переадресатором, он обрабатывает все внешние разрешения DNS и создает кэш внешних адресов, чтобы минимизировать количество рекурсивных запросов, тем самым сокращая трафик. 

Если ваша компания небольшая и имеет ограниченную пропускную способность, подразумеваемая переадресация DNS может сделать сеть более эффективной и скоростной.

Переадресация DNS для внутренних адресов

Эксперты рекомендуют использовать подмножество внутренних адресов, обрабатываемых с помощью переадресации DNS. Кроме того, для обширных интрасетей, включающих несколько доменов и поддоменов, целесообразно, чтобы DNS-запросы для подмножества этих доменов контролировались выделенным сервером. Такие запросы обычно направляются с помощью принципа условной переадресации DNS.

Лучшие практики для переадресации DNS

DNS имеет решающее значение для современного мира, управляемого Интернетом. Если у вас только один DNS-сервер, он должен быть настроен как переадресатор. Если у вас их несколько, то вы можете настроить один из них, некоторые или все в качестве переадресаторов. Кроме того, вы можете следовать перечисленным ниже практикам для обеспечения оптимальной работы DNS-переадресаторов. 

Отключить рекурсию

Рекурсия позволяет DNS-серверам запрашивать другие серверы от имени клиента. Это помогает в процессе переадресации DNS, но также подвергает вашу сеть риску безопасности. Поэтому, если вы отключите ее, вероятность подвергнуться атаке уменьшится. Это также снизит нагрузку на трафик, и ваша сеть станет более скоростной. 

Включить проверку DNSSEC

DNSSEC или Расширения безопасности системы доменных имен - это протоколы безопасности, которые защищают от подмены DNS и атак отравления кэша. Если протокол включен, DNS-форвардеры проверяют цифровые подписи. Если подпись не совпадает, ответ отбрасывается, а клиенту отправляется сообщение об ошибке.

Однако использовать его следует только через защищенное соединение. В противном случае хакеры могут перехватить и изменить обмениваемые данные.

Мониторинг DNS-серверов

Регулярный мониторинг DNS-серверов предупреждает вас о потенциальных технических проблемах, позволяя быстро принять меры. Это сокращает время простоя, которое в противном случае может сильно повлиять на ваш бизнес. 

Вы также должны проверять журналы DNS forwarder, чтобы заметить подозрительные действия или безответственное поведение пользователей, чтобы опередить потенциальные риски безопасности. 

Создание и тестирование альтернативной конфигурации

Альтернативная конфигурация позволит вам переключиться на другой форвардер в случае сбоя. Это снова сократит время простоя и сохранит доступ к вашим ресурсам. Не пропускайте тестирование альтернативной конфигурации перед установкой новой. 

Регулярное резервное копирование данных DNS-сервера

Вредоносные субъекты атакуют ваш сервер и пытаются изменить или удалить данные. Резервное копирование данных DNS-сервера помогает быстро восстановить их, не нарушая поток трафика в сети. Без резервного копирования на восстановление всех данных уйдут часы или даже дни, что сильно повлияет на ваш бизнес.

• О сайте
• Последние сообщения

Ахона Рудра

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.
• Прокси для дата-центров: Раскрытие рабочей лошадки мира прокси - 7 мая 2024 г.
• Kimsuky использует политику DMARC "None" в последних фишинговых атаках - 6 мая 2024 г.