DNS 架構完整性檢查
我正在為網路設計 DNS 服務並且有一些架構問題。O’Reilly/Cricket Liu DNS 書和NIST DNS 安全指南沒有以非常籠統的方式解決這些問題。
這是提議的網路,它具有內部(RFC 1918 空間)和 DMZ 段(具有多個伺服器,而不僅僅是 DNS 伺服器)以及位於外部 colo 的郵件和 www 伺服器。DNS 伺服器是藍色框:
以下是要求:
- DNSSEC 支持
- 在內部網路上,委託給 RFC 1918 空間中的內部區域
- 分離權威伺服器和遞歸伺服器
- 隱藏的主(又名隱藏的主)允許區域傳輸到從屬但不解決任何請求
- 所有名稱伺服器都執行 chroot(在 FreeBSD 上預設使用 Bind)
以下是我的問題:
- 這個設計有什麼明顯的問題嗎?
- 這裡是否有任何缺失或無關的元素?
- 可以在與內部從屬伺服器相同的子網上執行隱藏的主伺服器嗎?
- 鑑於內部和 DMZ 網路上的 DNS 流量相對較小(< 1 Mbps),在權威伺服器上執行僅記憶體伺服器(BSD 表示 VM)是否存在安全問題?還是應該在專用機器上?
提前致謝!
以下是我的問題:
1)這個設計有什麼明顯的問題嗎?
顯然沒有什麼是錯的。..至少我能看到。
2)這裡是否有任何缺失或無關的元素?
缺失:您是否願意為您的隱藏主人提供熱支持?該系統似乎經過精心設計(我不想在沒有看到您的案例的情況下將其稱為過度設計)以依賴單個主要主機。這超出了您的圖表範圍,但是您是否有一個應急計劃來應對 [不是如果 ] 主要主機爆炸?
無關的:請記住,您添加到組合中的每個 dns 伺服器都是必須管理的另一台伺服器。鑑於您的使用情況,擁有這麼多 DNS 伺服器是否至關重要?
- 可以在與內部從屬伺服器相同的子網上執行隱藏的主伺服器嗎?
我希望隱藏的 master 和權威的 dns slave 位於 dmz 中。適當地鎖定主人。內部從站正在回答來自 Internet 的您所在區域的權威查詢,對嗎?如果內部從伺服器只回答來自內部主機的區域查詢,那麼您要麼需要一個巨大的區域,對內部區域進行大量內部查找(考慮在主機/工作站級別記憶體 DNS 伺服器),要麼您提供了太多內部 DNS 的馬力。如果他們正在回答來自網際網路的查詢,我希望他們在 DMZ 中。你可以隨意給他們貼上你想要的標籤。
只要主設備與從設備在同一子網中 - 將其鎖定。應該不是問題(並且會在區域 xfer 時間為您節省一些路由成本)。
- 鑑於內部和 DMZ 網路上的 DNS 流量相對較小(< 1 Mbps),在權威伺服器上執行僅記憶體伺服器(BSD 表示 VM)是否存在安全問題?還是應該在專用機器上?
是的。總是存在安全問題。如果僅內部記憶體的伺服器被鎖定以僅接受來自內部來源的流量,則它們將被置於監獄中,可能位於 BSD 環境中,並定期更新和監視……黑客有很多工作要做才能利用該環境.
您最大的風險(請參閱:不是專業的風險分析師)可能是黑客的機會,通過一個剪切奇蹟,您的權威 DNS 從站之一被劫持的可能性。可能會導致部分損壞,或者如果攻擊者真的很聰明,一些“中毒”和資訊盜竊(請參閱:SSL/TLS 以阻止它)。
下一個最大的(見:不是專業的風險分析師)是需要重新安裝/恢復的從屬作業系統的損壞。
最終:
這是一個相當可靠的設計,如果沒有網路視圖(您不會向我們提供),很難找到設計的缺點/故障。唯一明顯突出的是:這裡有很多元件,複雜的設置和大量的工程……確保有它的業務。
例如:您可以將 Bind9 作為權威從站執行,它執行遞歸/轉發查找,並在一個守護程序中記憶體所有內容。(並保存多宿主/埠轉發/其他網路魔法,讓兩個 DNS 守護程序在同一個盒子上回答)。