КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Три уровня безопасности DNS
Низкий уровень безопасности Безопасность нижнего уровня обеспечивается при стандартном развертывании службы DNS без каких-либо специальных мер обеспечения безопасности. Развертывать службу DNS с этим уровнем безопасности допускается только в таких сетях, где не стоит вопрос о целостности данных DNS или в частной сети, не подверженной угрозе внешнего подключения. · Инфраструктура DNS организации полностью открыта для доступа из Интернета. · Стандартное разрешение имен DNS выполняется всеми DNS-серверами в сети. · Корневые ссылки на всех DNS-серверах указывают на корневые серверы для Интернета. · На всех DNS-серверах разрешены передачи зон на любой сервер. · Все DNS-серверы настроены на прослушивание всех своих IP-адресов. · На всех DNS-серверах отключены средства предотвращения засорения кэша. · Разрешены динамические обновления для всех зон DNS. · Порт 53 протокола UDP и протокола TCP/IP на брандмауэре сети открыт как для адресов источников, так и для целевых адресов. Средний уровень безопасности Для обеспечения среднего уровня безопасности применяются средства безопасности службы DNS, не требующие выполнения DNS-серверов на контроллерах домена и хранения зон DNS в службе Active Directory. · К инфраструктуре DNS организации имеется ограниченный доступ из Интернета. · Все DNS-серверы настроены на использование пересылок для указания на заданный список внутренних DNS-серверов в тех случаях, когда они не могут разрешить имена локально. · На всех DNS-серверах передача зон ограничена серверами, перечисленными в записи ресурса сервера имен NS для соответствующей зоны. · DNS-серверы настроены на прослушивание заданных IP-адресов. · На всех DNS-серверах включены средства предотвращения засорения кэша.
· Для всех зон DNS запрещены небезопасные динамические обновления. · Внутренние DNS-серверы обмениваются информацией с внешними DNS-серверами через брандмауэр с ограниченным списком разрешенных исходных и целевых адресов. · Корневые ссылки на внешних DNS-серверах, находящихся перед брандмауэром, указывают на корневые серверы для Интернета. · Разрешение имен для Интернета выполняется исключительно на прокси-серверах и шлюзах.
Высокий уровень безопасности Высокий уровень безопасности настраивается так же, как и безопасность среднего уровня; кроме того используются средства обеспечения безопасности, доступные в том случае, когда служба «DNS-сервера» выполняется на контроллере домена, а зоны DNS хранятся в Active Directory. Кроме того, при высоком уровне безопасности совершенно прекращается обмен информацией службы DNS с Интернетом. Такая настройка нетипична, но она рекомендуется в тех случаях, когда подключение к Интернету не обязательно. · В инфраструктуре DNS организации отсутствует обмен информацией внутренних DNS-серверов с Интернетом. · В сети применяется внутренний корневой DNS-сервер и пространство имен, где все полномочия для зон DNS являются внутренними. · DNS-серверы, использующие пересылку, работают только с IP-адресами внутренних DNS-серверов. · Передача зон на всех DNS-серверах ограничена заданными IP-адресами. · DNS-серверы настроены на прослушивание заданных IP-адресов. · На всех DNS-серверах включены средства предотвращения засорения кэша. · Корневые ссылки на внутренних DNS-серверах указывают на внутренние DNS-серверы, на которых размещается корневая зона для внутреннего пространства имен. · Все DNS-серверы выполняются на контроллерах доменов. В службе «DNS-сервера» настроен список разграничительного контроля доступа (DACL), позволяющий выполнять административные задачи на DNS-сервере только конкретным сотрудникам.
· Все зоны DNS хранятся в Active Directory. Настройка списка DACL позволяет создавать, удалять и изменять зоны DNS только конкретным сотрудникам. · Настройка списков DACL для записей ресурсов DNS позволяет создавать, удалять и изменять данные DNS только конкретным сотрудникам. · Для зон DNS, за исключением зон верхнего уровня и корневых зон, настроены безопасные динамические обновления, что вообще не позволяет применять динамические обновления.
Дата добавления: 2014-12-07; Просмотров: 528; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |