DNS Server security & reliability - Хичээл дээр яригдсан DNS Server-н талаарх чухал зүйлсүүд:
security = s, reliability = r
-r- DNS Cервер заавал redundant-тай байх - Энэ мэдээж бүх төрлийн production server-үүдэд хамаарна. DNS-н хувьд master & slave байдлаар зохион байгуулах боломжтой тул zone-н бүртгэлийг хийж байгаа сервер 1 ба түүнээс дээш slave DNS сервертэй байх шаардлагатай.
-sr- Master болон Slave серверүүд тусдаа дэд сүлжээ/subnet-д байрлах - Энд мэдээж Microsoft компаний жишээг дурдаж ярих хүн олон. Энэ удаа ч багш маань дурдаад амжив. Microsoft-н бүх DNS серверүүд нэг дэд сүлжээнд байрласнаас, router дээр тохиргоо хийж байсан ажилтны хайхрамжгүйгээс энэ дэд сүлжээрүү гаднаас хандах боломжгүй болж, улмаар Microsoft-н веб хуудсууд ажиллахгүй болсон байна.
-sr- Authoritative серверээс "forwarder" үүргийг салгах - Энэ нь мэдээж серверийн ачааллыг бодсон хэрэг. Authoritative серверүүд зөвхөн өөрийн мэдэх асуулга/query-д хариу өгч, "caching forwarder" хэрэглэгчдийн бусад асуулга/query-д ,жишээлбэл mail.yahoo.com-н IP-г олох зэрэг, хариу өгнө гэсэн үг юм. Нэг үгээр хэлбэл интернетийн хэрэглэгчиддээ (ISP-н хувьд) "сaching forwarder" DNS Cерверийнхээ IP-г зарлаж, authoritative DNS серверээ нууна гэсэн үг юм. Мэдээж authoritative DNS Серверийг чинь хүн болгон мэдэж байх албагүй.
-s- Authoritative cерверийн zone transfer, zone update-г хязгаарлах - allow-transfer{}, allow-update{} directive-үүдийг ашиглан хязгаарлалт хийх боломжтой. Default-р zone transfer хийх нээлттэй байдаг тул зөвхөн өөрийн slave серверт zone transfer хийх эрхийг олгон бусдад хаах шаардлагатай болохыг манай админууд анхаарна уу.
-s- Dynamic zone transfer & update хийхдээ TSIG ашиглах - Хуурамч IP хаягаар DNS cерверийг хууран zone transfer&update хийх нөхцөлийг хаах үүднээс encrypt-лэгдсэн түлхүүр үгийн тусламжтайгаар authorization хийнэ гэсэн үг юм. TSIG амжилттай ажиллахын тулд 2 серверийн цагууд 5 минутаас багагүй зөрөөтэй ажиллаж байх ёстойг анхаараарай.
-sr- Recursive cерверийг зөвхөн өөрийн хэрэглэгчдийн subnet-д зөвшөөрөх - open recursive server нь cache snooping attack-д өртдөг тул өөрийн хэрэглэгчдийн subnet-с гадуур ирэх query-г хязгаарлах хэрэгтэй. Үүний тулд allow-query{} directive-г ашиглана. Ингэснээр гадны халдлагаас хамгаалах төдийгүй серверийн ачааллыг ихэсгэхгүй байх давуу талтай юм. Зүйрлэж хэлбэл энэ нь open relay mail server-тэй адил шаардлагагүй трафикийг өөрөөрөө дамжуулж байна гэсэн үг юм.
-sr- Системийн логыг бичих - (Бүх production server-үүдэд хамаарна). BIND дээр category{}, channel{} directive-үүдийг ашиглан лог-г ангилж бүртгэх боломжтой байдаг. Сервер гадны халдлагад өртөх, хэвийн ажиллагаа доголдох зэрэгт лог л ганц аврана шүү дээ.
Дээрх үндсэн зүйлсээс гадна nslookup, dig зэрэг командуудыг эзэмших, гаднаас серверээ удирдах rndc программтай ажиллаж дадах зэрэг зайлшгүй сурах зүйлс байгааг манай сисадминууд анхаарна бизээ...
No comments:
Post a Comment