none
如何才是一個完整、安全不被攻擊的DNS Server架構。 RRS feed

  • 問題

  • 請問各位先進,
    我們目前DNS都是委外託管,主要原因是之前都會被攻擊然後掛掉。我一直想要讓DNS回來自己管控,想請問一下各位先進,我要如何架設DNS才可以安全、安心、無慮的使用,才不會被駭客攻擊。

    我之前看到的方向大都如下:請問一下,這是很好的方式嗎?
    防火牆內部架設一台for內部網路,然後再外面在架設一台for Internet,外面這台僅能複製內部的DNS紀錄,不可以修改,這樣可以嗎?還是各位先進可以幫忙一下,看如何為公司架設一台安全無虞的DNS Server。

    謝謝各位先進。
    2008年8月26日 上午 09:26

解答

  • 不太懂你所謂的複寫整合

    我會分成內外部DNS,就是不想讓Internet透過外部DNS查到內部DNS相關訊息

    讓內部的歸內部,外部歸外部,兩者不會互通資料

    內部的DNS就躲在NAT裡面

    外部的DNS則放在DMZ區

     

    內部DNS查不到的名稱,我本來是設定直接轉到中華電信的DNS Server做查詢

    後來我在考量AD主機也盡量不對外連線的情況下

    讓內部DNS主機(即AD主機)沒有的資料就轉去外部DNS主機查

    外部DNS又查不到的,再由外部幫我轉去中華電信的主機查

     

    但你可能會有疑問,萬一內外部DNS都有一樣的正向對應區域名稱怎麼辦?

    比如內部的AD網域是以abc.com.tw為名

    外部的正向對應區域也有abc.com.tw

    但是有一台www.abc.com.tw主機是放在DMZ區,而且也有實體IP

    那麼我就會直接在內部DNS上直接加上一筆A Record,而且是直接對應實體IP

     

    我的經驗提供給您參考看看,如果有錯誤也請先進指正了,感恩

    2008年8月27日 下午 02:41
    版主

所有回覆

  • 你查到的方向是對的,我們公司也是分內外網的DNS

    至於如何架設比較安全,可以參考並免費下載台灣微軟在2006年所提供的網路廣播課程資料

    08月30號 Windows Server 2003 網路基礎架構服務 - Managing DNS(DNS 設定與管理維護)

    06月09號 善用 Windows Server 2003 的 DNS 新增功能 (一) 建立完整的內外網 DNS 查詢機制

    2008年8月26日 下午 03:04
    版主
  • 謝謝大大的回覆。也想請問一下還有其他的解決方案嗎?
    另外,外部的DNS Server通常是架構在什麼系統下,還是使用2003 Server嗎?
    2008年8月27日 上午 03:37
  • 外部的DNS其實沒有特別限定OS

    我覺得只要外部能正常被查詢又不會被亂竄改設定就是好貓

    內部的DNS才需要認真考量

    像我也動過念頭用把外部的DNS設定放進頻寬整合器上

    因為公司購買的頻寬整合器有提供DNS Server服務

    假如你很熟Linux及相關安全設定的話,要用Linux也OK

     

    目前我們公司外部DNS也只是用Win2000而已,那台主機也只有DNS服務的功能

    在考慮資訊人員對Windows比較熟悉及管理上的方便

    所以仍然以Windows Server為主

     

    如果你是新建置而且又比較熟Windows Server

    那當然第一選擇就是Server 2003 或 Server 2008囉

    2008年8月27日 上午 04:08
    版主
  •  

    我司目前外部DNS是放在外面機房,也是用windows2003,並某一台不對外的DNS複寫給它,

    一樣沒什麼問題,只要對外的DNS沒有修改的權限即可!

     

    2008年8月27日 上午 10:31
  • Aska大大你好:
    如果外部的DNS用Win2k,這樣一樣可以跟內部的Win2003覆寫整合是嗎?
    所謂放在外面,我認為應該也是放在DMZ。還是說,直接就暴露在外面?

    謝謝
    2008年8月27日 上午 11:33
  • 不太懂你所謂的複寫整合

    我會分成內外部DNS,就是不想讓Internet透過外部DNS查到內部DNS相關訊息

    讓內部的歸內部,外部歸外部,兩者不會互通資料

    內部的DNS就躲在NAT裡面

    外部的DNS則放在DMZ區

     

    內部DNS查不到的名稱,我本來是設定直接轉到中華電信的DNS Server做查詢

    後來我在考量AD主機也盡量不對外連線的情況下

    讓內部DNS主機(即AD主機)沒有的資料就轉去外部DNS主機查

    外部DNS又查不到的,再由外部幫我轉去中華電信的主機查

     

    但你可能會有疑問,萬一內外部DNS都有一樣的正向對應區域名稱怎麼辦?

    比如內部的AD網域是以abc.com.tw為名

    外部的正向對應區域也有abc.com.tw

    但是有一台www.abc.com.tw主機是放在DMZ區,而且也有實體IP

    那麼我就會直接在內部DNS上直接加上一筆A Record,而且是直接對應實體IP

     

    我的經驗提供給您參考看看,如果有錯誤也請先進指正了,感恩

    2008年8月27日 下午 02:41
    版主