КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Три уровня безопасности DNS
|
|
|
|
Низкий уровень безопасности
Безопасность нижнего уровня обеспечивается при стандартном развертывании службы DNS без каких-либо специальных мер обеспечения безопасности. Развертывать службу DNS с этим уровнем безопасности допускается только в таких сетях, где не стоит вопрос о целостности данных DNS или в частной сети, не подверженной угрозе внешнего подключения.
· Инфраструктура DNS организации полностью открыта для доступа из Интернета.
· Стандартное разрешение имен DNS выполняется всеми DNS-серверами в сети.
· Корневые ссылки на всех DNS-серверах указывают на корневые серверы для Интернета.
· На всех DNS-серверах разрешены передачи зон на любой сервер.
· Все DNS-серверы настроены на прослушивание всех своих IP-адресов.
· На всех DNS-серверах отключены средства предотвращения засорения кэша.
· Разрешены динамические обновления для всех зон DNS.
· Порт 53 протокола UDP и протокола TCP/IP на брандмауэре сети открыт как для адресов источников, так и для целевых адресов.
Средний уровень безопасности
Для обеспечения среднего уровня безопасности применяются средства безопасности службы DNS, не требующие выполнения DNS-серверов на контроллерах домена и хранения зон DNS в службе Active Directory.
· К инфраструктуре DNS организации имеется ограниченный доступ из Интернета.
· Все DNS-серверы настроены на использование пересылок для указания на заданный список внутренних DNS-серверов в тех случаях, когда они не могут разрешить имена локально.
· На всех DNS-серверах передача зон ограничена серверами, перечисленными в записи ресурса сервера имен NS для соответствующей зоны.
· DNS-серверы настроены на прослушивание заданных IP-адресов.
· На всех DNS-серверах включены средства предотвращения засорения кэша.
|
|
|
· Для всех зон DNS запрещены небезопасные динамические обновления.
· Внутренние DNS-серверы обмениваются информацией с внешними DNS-серверами через брандмауэр с ограниченным списком разрешенных исходных и целевых адресов.
· Корневые ссылки на внешних DNS-серверах, находящихся перед брандмауэром, указывают на корневые серверы для Интернета.
· Разрешение имен для Интернета выполняется исключительно на прокси-серверах и шлюзах.
Высокий уровень безопасности
Высокий уровень безопасности настраивается так же, как и безопасность среднего уровня; кроме того используются средства обеспечения безопасности, доступные в том случае, когда служба «DNS-сервера» выполняется на контроллере домена, а зоны DNS хранятся в Active Directory. Кроме того, при высоком уровне безопасности совершенно прекращается обмен информацией службы DNS с Интернетом. Такая настройка нетипична, но она рекомендуется в тех случаях, когда подключение к Интернету не обязательно.
· В инфраструктуре DNS организации отсутствует обмен информацией внутренних DNS-серверов с Интернетом.
· В сети применяется внутренний корневой DNS-сервер и пространство имен, где все полномочия для зон DNS являются внутренними.
· DNS-серверы, использующие пересылку, работают только с IP-адресами внутренних DNS-серверов.
· Передача зон на всех DNS-серверах ограничена заданными IP-адресами.
· DNS-серверы настроены на прослушивание заданных IP-адресов.
· На всех DNS-серверах включены средства предотвращения засорения кэша.
· Корневые ссылки на внутренних DNS-серверах указывают на внутренние DNS-серверы, на которых размещается корневая зона для внутреннего пространства имен.
· Все DNS-серверы выполняются на контроллерах доменов. В службе «DNS-сервера» настроен список разграничительного контроля доступа (DACL), позволяющий выполнять административные задачи на DNS-сервере только конкретным сотрудникам.
|
|
|
· Все зоны DNS хранятся в Active Directory. Настройка списка DACL позволяет создавать, удалять и изменять зоны DNS только конкретным сотрудникам.
· Настройка списков DACL для записей ресурсов DNS позволяет создавать, удалять и изменять данные DNS только конкретным сотрудникам.
· Для зон DNS, за исключением зон верхнего уровня и корневых зон, настроены безопасные динамические обновления, что вообще не позволяет применять динамические обновления.
|
|
|
|
|
Дата добавления: 2014-12-07; Просмотров: 528; Нарушение авторских прав?; Мы поможем в написании вашей работы!