Проверка работоспособности архитектуры DNS

Вот мои вопросы:

1) Есть ли что-нибудь явно в этом дизайне?

Нет ничего Очевидно неправильно. .. По крайней мере, это я вижу.

2) Есть ли здесь отсутствующие или лишние элементы?

Отсутствуют : Комфортно ли вам, что ваш скрытый хозяин не готов помочь? Система кажется довольно спроектированной (я не хочу называть ее чрезмерно спроектированной, не видя вашего варианта использования), чтобы полагаться на один основной хост. Это выходит за рамки вашей схемы, но есть ли у вас план действий на случай непредвиденных обстоятельств, когда [ не , если] взорвется основной мастер?

Посторонние : Имейте в виду, что каждый DNS-сервер, который вы Добавьте к этому еще один сервер, которым необходимо управлять. Учитывая ваше использование, критично ли иметь такое количество DNS-серверов?

3) Хорошо, чтобы запустить скрытый мастер в той же подсети, что и внутренний подчиненный но есть ли у вас план действий на случай непредвиденных обстоятельств, когда [ не , если] основной мастер взорвется?

Посторонние : Имейте в виду, что каждый DNS-сервер, который вы добавляете в микс, является другим сервером, который нужно управлять. Учитывая ваше использование, критично ли иметь такое количество DNS-серверов?

3) Хорошо, чтобы запустить скрытый мастер в той же подсети, что и внутренний подчиненный но есть ли у вас план действий на случай непредвиденных обстоятельств, когда [ не , если] основной мастер взорвется?

Посторонние : Имейте в виду, что каждый DNS-сервер, который вы добавляете в микс, является другим сервером, который нужно управлять. Учитывая ваше использование, критично ли иметь такое количество DNS-серверов?

3) Хорошо, чтобы запустить скрытый мастер в той же подсети, что и внутренний подчиненный серверов?

Я бы ожидал, что скрытый мастер и полномочные подчиненные DNS будут в dmz. Зафиксируйте мастер соответствующим образом. Внутренние ведомые устройства отвечают на авторитетный поиск вашей зоны из Интернета, верно? Если внутренние подчиненные устройства отвечают только на запросы для вашей зоны с внутренних хостов, вам понадобится либо ОГРОМНАЯ зона, либо глупое количество внутренних запросов к вашей внутренней зоне ( рассмотрите возможность кэширования DNS серверов на уровне хоста / рабочей станции ), или вы отдали слишком много мощности внутреннему DNS. Если они отвечают на запросы из Интернета, я ожидаю, что они будут в демилитаризованной зоне. Вы можете пометить их, как хотите.

Если главный компьютер находится в той же подсети, что и подчиненные - заблокируйте его. сетей, есть ли проблемы с безопасностью для запуска только кэширования серверы в тюрьмах (BSD-говорят для виртуальных машин) на авторитетных серверах? Или должны ли они быть на выделенных машинах?

Да. Всегда есть проблемы с безопасностью. Если серверы, работающие только с внутренним кэшированием, заблокированы, чтобы принимать только трафик из внутренних источников, они помещаются в тюрьмы, предположительно в среде BSD, и регулярно обновляются и контролируются ... Хакеру предстоит много работы, чтобы использовать эту среду. .

Ваш самый большой риск (см .: не профессиональный аналитик рисков) - это, вероятно, вероятность того, что хакер совершит чудо, - это возможность захвата одного из ваших авторитетных ведомых DNS-серверов. . Скорее всего, это приведет к частичному искажению или, если злоумышленник действительно гениален, некоторому «отравлению» и краже информации (см .: SSL / TLS, чтобы помешать этому).

Следующий по величине (см .: не профессиональный аналитик рисков) - это повреждение подчиненной ОС, требующее переустановки / восстановления.

В конечном итоге:

Это довольно надежная конструкция, и без обзора сети (которую вы не ждите, что нам предоставят), недостатки / недоработки с дизайном найти довольно сложно. Единственное, что явно выделяется, - это то, что здесь много частей, сложная установка и много инженерных работ ... Убедитесь, что для этого есть бизнес.

Пример: вы можете запустить Bind9 как Авторитетный подчиненный, который выполняет рекурсивный / пересылающий поиск и кэширует все в одном демоне. (и сохраняет множественную адресацию / переадресацию портов / другую сетевую магию, чтобы два демона DNS отвечали на одном и том же устройстве).

От нас не ждут), недостатки / недоработки в конструкции найти довольно сложно. Единственное, что явно выделяется, - это то, что здесь много частей, сложная установка и много инженерных работ ... Убедитесь, что для этого есть бизнес.

Пример: вы можете запустить Bind9 как Авторитетный подчиненный, который выполняет рекурсивный / пересылающий поиск и кэширует все в одном демоне. (и сохраняет множественную адресацию / переадресацию портов / другую сетевую магию, чтобы два демона DNS отвечали на одном устройстве).

Не ждите, что предоставите нам), то недостатки / недоработки в конструкции найти довольно сложно. Единственное, что явно выделяется, - это то, что здесь много частей, сложная установка и много инженерных работ ... Убедитесь, что для этого есть бизнес.

Пример: вы можете запустить Bind9 как Авторитетный ведомый, который выполняет рекурсивный / пересылающий поиск и кэширует все в одном демоне. (и сохраняет множественную адресацию / переадресацию портов / другую сетевую магию, чтобы два демона DNS отвечали на одном и том же устройстве).

который выполняет рекурсивный / пересылающий поиск и кэширует все в одном демоне. (и сохраняет множественную адресацию / переадресацию портов / другую сетевую магию, чтобы два демона DNS отвечали на одном и том же устройстве).

который выполняет рекурсивный / пересылающий поиск и кэширует все в одном демоне. (и сохраняет множественную адресацию / переадресацию портов / другую сетевую магию, чтобы два демона DNS отвечали на одном и том же устройстве).