DNS पुनरावृत्ति असुरक्षित है, लेकिन आंतरिक अनुप्रयोगों के लिए आवश्यक है?

Windows Server 2008 के प्रबंधन में, सर्वर कुछ डोमेन के लिए DNS (नाम नेचर) को होस्ट करता है, साथ ही कुछ एप्लिकेशन को होस्ट करता है जो सार्वजनिक रूप से सुलभ हैं।

एक सुरक्षा स्कैन ने संकेत दिया है कि DNS कॉन्फ़िगरेशन असुरक्षित है, क्योंकि यह पुनरावर्ती प्रश्नों की अनुमति देता है।

पुनरावर्ती प्रश्नों को अक्षम करने का प्रयास किया गया था, लेकिन कई समस्याएं हुईं (स्थानीय ऐप्स से भेजे गए ईमेल वितरित नहीं किए गए थे, और स्थानीय रूप से चलने वाला ऐप जो किसी तृतीय-पक्ष साइट से जुड़ता है, कनेक्शन के लिए डोमेन नाम को हल नहीं कर सकता था, आदि)। तो ऐसा प्रतीत होता है कि DNS अनुरोध जो सर्वर पर उत्पन्न हो रहे हैं, कार्य करने के लिए पुनरावर्ती प्रश्नों पर भरोसा करते हैं।

क्या डीएनएस द्वारा होस्ट किए गए पुनरावर्ती प्रश्नों को सर्वर पर निष्क्रिय करने का एक तरीका है, जबकि अभी भी काम करने के लिए सर्वर पर उत्पन्न DNS प्रश्नों की अनुमति है? मैं सोच रहा था कि क्या हम स्थानीय DNS सर्वर पर पुनरावर्ती प्रश्नों को अक्षम कर सकते हैं और नेटवर्क सेटिंग में जावक DNS को कुछ बाहरी (जैसे 8.8.8.8) पर सेट कर सकते हैं, ताकि निवर्तमान DNS प्रश्न पहले वहां जाएं, और इस सर्वर का DNS केवल समाप्त हो जाएगा उन डोमेन के लिए क्वेरी करना जो वास्तव में स्थानीय रूप से होस्ट करता है।

आपके समय के लिए धन्यवाद!

यह एक अच्छा विचार है कि पूरे इंटरनेट पर पुनरावर्ती लुकअप कार्यक्षमता प्रदान न करें, इसलिए अपने DNS सर्वर को केवल उन प्रश्नों का उत्तर देने के लिए कॉन्फ़िगर करें जो एक अच्छा थिंग ^{टीएम है} ।

सतह यह निष्कर्ष आप अपने पिछले पैराग्राफ में पहुँच गए हैं की तरह लगता है पर एक अच्छा एक है: सर्वर के अपने टीसीपी कॉन्फ़िगर / आईपी सेटिंग्स एक DNS सर्वर का उपयोग करने के है पुनरावर्ती लुकअप प्रदान करने के लिए अधिकृत किया। DNS सर्वर प्रक्रिया विशेष रूप से किसी भी चीज़ के लिए सर्वर कंप्यूटर के एनआईसी पर टीसीपी / आईपी सेटिंग्स में कॉन्फ़िगर किए गए डीएनएस सर्वर का उपयोग नहीं करती है। इसके बजाय, यह DNS सर्वर कॉन्फ़िगरेशन के आधार पर अनुरोध (या रूट संकेत का उपयोग करता है) करता है।

जब सर्वर पर चल रहे एप्लिकेशन डोमेन के लिए उस मशीन पर चल रहे DNS सर्वर के लिए क्वेरी करने का प्रयास करते हैं, तो अनुरोध के लिए आधिकारिक है, अंततः, उस मशीन पर चलने वाले DNS सर्वर प्रक्रिया के लिए बना देगा और क्वेरी का उत्तर दिया जाएगा।

क्या डीएनएस द्वारा होस्ट किए गए पुनरावर्ती प्रश्नों को सर्वर पर निष्क्रिय करने का एक तरीका है, जबकि अभी भी काम करने के लिए सर्वर पर उत्पन्न DNS प्रश्नों की अनुमति है?

Microsoft के DNS सर्वर के साथ नहीं, वहाँ नहीं है।

ISC के DNS सर्वर, BIND के साथ, कोई भी चीज़ों को विचारों से जोड़ सकता है। Microsoft के DNS सर्वर में ऐसा कोई तंत्र नहीं है। इसलिए Microsoft DNS सर्वर के किसी भी उदाहरण के लिए, किसी को यह चुनना होगा कि वह सार्वजनिक सामग्री DNS सर्वर है या साइट-स्थानीय प्रॉक्सी DNS सर्वर। यह चीजों को चकमा नहीं दे सकता है और विभिन्न प्रकार के सर्वरों को अलग-अलग DNS क्लाइंट्स का दिखावा करता है।

सुरक्षा परीक्षण सेवा / उपकरण काफी सही है। यह है सबसे अच्छा अभ्यास करने के लिए प्रॉक्सी सेवा प्रदान नहीं - किसी भी प्रॉक्सी सेवा की तरह: यह हो HTTP प्रॉक्सी सेवा, प्रॉक्सी सेवा, या SMTP प्रस्तुत सेवा DNS - एक ही साइट outwith इंटरनेट के आराम करने के। आपके पास बहुत अलग सर्वर होने चाहिए : एक सामग्री DNS सर्वर जो आपके सार्वजनिक DNS डेटा को प्रकाशित कर रहा है, आपके डोमेन नामों के बारे में जो आपने इंटरनेट पर सभी को पंजीकृत किया है; और एक स्थानीय प्रॉक्सी DNS सर्वर, जो आपके LAN / संगठन के कंप्यूटरों की ओर से क्वेरी रिज़ॉल्यूशन का कार्य करता है, जो केवल आपके संगठन / आपके LAN पर मशीनों के लिए सुलभ है। Microsoft के DNS सर्वर के साथ, यह विशेष रूप से आसान नहीं है।

यह विशेष रूप से मुश्किल होगा यदि आपकी मशीन एक डोमेन नियंत्रक भी थी। आप कहते हैं कि यह मशीन सीधे पूरे इंटरनेट से पहुंच योग्य है। यदि ऐसी मशीन एक डोमेन नियंत्रक है, तो आपको अब अपने नेटवर्क संगठन पर फिर से विचार करना चाहिए । आप जनता के लिए आंतरिक सेवाओं की एक बहुत बड़ी संख्या को उजागर करेंगे, न कि केवल प्रॉक्सी डीएनएस सेवा को। तो चलो अनुमान पर काम करते हैं कि यह एक डोमेन नियंत्रक नहीं है।

चूंकि यह एक डोमेन नियंत्रक नहीं है, और यह केवल एक सदस्य सर्वर है , इसलिए आपको यह आवश्यकता नहीं है कि मशीन पर DNS क्लाइंट को प्रॉक्सी के लिए मशीन के स्वयं के DNS सर्वर (या, प्रारंभ में, किसी अन्य डोमेन नियंत्रक के DNS सर्वर) का उपयोग करना चाहिए। DNS सेवा, जो डोमेन नियंत्रकों के लिए मामला है। यदि आपके पास था, तो आप मशीन के DNS सर्वर पर प्रॉक्सी DNS सेवा को बंद नहीं कर पाएंगे। सौभाग्य से, यह एक डोमेन नियंत्रक नहीं है, और इसका DNS क्लाइंट प्रॉक्सी DNS सेवा के लिए कुछ अन्य मशीन का उपयोग कर सकता है, स्वयं नहीं।

सदस्य सर्वर मशीन पर DNS क्लाइंट को अभी भी एक आंतरिक प्रॉक्सी DNS सर्वर का उपयोग करना है । आप इसे अपने आईएसपी, Google या किसी भी अन्य पार्टी द्वारा प्रदान किए गए कुछ बाहरी DNS सर्वर पर इंगित नहीं कर सकते हैं, जो आपके DNS पर सक्रिय निर्देशिका का उपयोग करने वाले सभी DNS डेटा को नहीं जानते हैं । आप अपने एक या अधिक डोमेन नियंत्रकों पर DNS सर्वर पर मशीन के DNS क्लाइंट को इंगित कर सकते हैं, हालांकि। यह काफी सरल है, और यह है कि आप क्या हैं - आखिरकार - पहले से ही अपने लैन पर अपने सभी वर्कस्टेशनों पर कर रहे हैं । आपके सदस्य सर्वर पर मौजूद DNS क्लाइंट को आपके सभी वर्कस्टेशनों पर DNS क्लाइंट की तरह कॉन्फ़िगर किया जाना चाहिए ।

यह देखते हुए कि आपके मशीन का DNS क्लाइंट प्रॉक्सी DNS सेवा के लिए मशीन पर चल रहे DNS सर्वर का उपयोग नहीं कर रहा है, आप बस Microsoft के DNS सर्वर को किसी भी रूप में किसी भी रूप की प्रॉक्सी DNS सेवा प्रदान नहीं करने के लिए कॉन्फ़िगर करते हैं।

आगे की पढाई

• जोनाथन डी बॉयने पोलार्ड (2000,2004,2007)। "सामग्री" और "प्रॉक्सी" डीएनएस सर्वर । बार-बार जवाब दिया।
• जोनाथन डी बॉयने पोलार्ड (2000,2004,2007)। आईपी ​​पते जिस पर प्रॉक्सी सर्वर को सुनने के लिए कॉन्फ़िगर किया जाना चाहिए । बार-बार जवाब दिया।
• जोनाथन डी बॉयने पोलार्ड (2003,2010)। एक व्यक्ति प्रॉक्सी DNS सेवा प्राप्त करता है । बार-बार जवाब दिया।
• जोनाथन डी बॉयने पोलार्ड (2003)। ऑल-द-हैट-ऑन-वन ​​DNS सर्वर सॉफ़्टवेयर के साथ सामग्री DNS सेवा प्रदान करना। । बार-बार जवाब दिया।
• जोनाथन डी बॉयने पोलार्ड (2003)। आपके फ़ॉलबैक प्रॉक्सी DNS सर्वर को आपके प्रमुख के रूप में DNS नामस्थान का एक ही दृश्य प्रदान करना होगा। । बार-बार जवाब दिया।
• Microsoft Corporation (2007-01-31)। Windows 2000 सर्वर में और Windows Server 2003 में DNS क्लाइंट सेटिंग्स के लिए सर्वोत्तम अभ्यास । आईडी 825036
• निर्मल शर्मा (2007-09-23)। DNS डोमेन ज़ोन में डोमेन नियंत्रक का SRV रिकॉर्ड । आईडी 556006. Microsoft समर्थन।

जैसा कि इवान ने अपने जवाब में कहा, आपके एप्लिकेशन को सर्वर पर DNS क्लाइंट घटक का उपयोग करने की आवश्यकता है, जो DNS सर्वर घटक से पूरी तरह स्वतंत्र है। DNS सर्वर घटक को पुनरावृत्ति नहीं करने के लिए कॉन्फ़िगर किया जा सकता है, यह इसे केवल DNS ज़ोन के लिए अधिकृत प्रश्नों का उत्तर देने की अनुमति देता है, जिसके लिए यह अधिकृत है।

एप्लिकेशन प्रासंगिक एनआईसी के टीसीपी / आईपी गुणों में कॉन्फ़िगर किए गए डीएनएस सर्वर का उपयोग कर सकते हैं, जो कि किसी भी डीएनएस सर्वर का उपयोग करने के लिए कॉन्फ़िगर किया जा सकता है जो पुनरावृत्ति (जैसे Google के डीएनएस सर्वर) का प्रदर्शन करेगा। प्रासंगिक एनआईसी के टीसीपी / आईपी गुणों में कॉन्फ़िगर किए गए DNS सर्वरों को उसी सर्वर पर चलने वाले DNS सर्वर को इंगित करने की आवश्यकता नहीं है।

मेरे पास हाल ही में एक ही मुद्दा था और हमारे डीएनएस सर्वर का उपयोग प्रवर्धन हमलों के लिए किया जा रहा था। लेकिन मुझे हमारे अन्य आंतरिक सर्वर के लिए पुनरावृत्ति रखने की आवश्यकता है।

यदि आपके पास एक सिस्को राउटर है, तो यहां एक संभावित फिक्स है। मैंने हमारे बाहरी DNS को सिस्को 7200VXR राउटर में स्थानांतरित कर दिया और इसे केवल विशिष्ट DNS ज़ोन में उत्तर देने के लिए कॉन्फ़िगर किया। यह आंतरिक DNS सर्वर को क्वेरी करेगा ताकि आपको दो स्थानों में सब कुछ दर्ज न करना पड़े।

यहाँ सिस्को विन्यास का एक स्निपेट है जिसका मैंने उपयोग किया है:

ip dns view default
 dns forwarder 192.168.0.xx (internal DNS server)
 domain round-robin

ip dns view-list default
 view default 1
  restrict name-group 1

ip dns name-list 1 permit abc.com
ip dns name-list 1 permit def.com
ip dns name-list 1 permit anyotherdomainthatyouhost.com
ip dns name-list 1 permit 3.2.1.in-addr.arpa (needed for reverse PTR lookups)

interface fastethernet0/0 (the interface where the IP address is that will host DNS)
 ip dns view-group default
 ip address 1.2.3.4 secondary (use the public facing IP you will use to host DNS)

ip dns server

इसके अलावा, एक्सेस लिस्ट के साथ राउटर में DNS पैकेट्स की अनुमति देना न भूलें, जैसे:

permit udp any host 1.2.3.4 eq domain