Мы рассматривали возможность использования стороннего рекурсивного поставщика DNS, такого как OpenDNS (или любой другой), для обеспечения уровня защиты от фишинга и проверки DNSSEC (без необходимости реализации этих функций внутри компании).
Чтобы внутренний (домен Windows) DNS работал нормально, эти рекурсивные поставщики DNS обычно настраиваются как серверы пересылки DNS в службе DNS Windows?
Существуют ли другие передовые методы или рекомендации при передаче рекурсивного DNS на аутсорсинг?
Чтобы ответить на ваш первый вопрос одним словом, " да ».
Чтобы ответить на ваш второй вопрос, вопросы о передовых методах обычно очень субъективны и не подходят для формата Stack Exchange. Эмпирическое правило состоит в том, что должен быть ответ, и это должен быть правильный ответ, а не совокупность мнений, из которых вы пытаетесь извлечь.
Тем не менее, есть два существенные предостережения относительно того, что вы делаете, и они достаточно значительны для того, чтобы я думаю, что стоит нанести удар.
Пока проверка заглушек не станет более распространенной в реализации с помощью Поставщики ОС, ответный пакет с установленным битом AD
(аутентифицированные данные) в основном говорит следующее:
«Я доверял этим данным, так что вы также можете доверять этим данным! ... Если вы доверяете мне , и сеть между нами . "
Прочтите это очень внимательно. Если ваша цель - «[избежать] необходимости реализовывать эти функции внутри компании», убедитесь, что вы понимаете, что вы получаете от DNSSEC. Большинство людей этого не делает. Это означает, что вы более устойчивы к атакам на удаленный удаленный рекурсивный DNS-сервер, но вы по-прежнему полностью открыты для атак отравления, направленных против вашей инфраструктуры . Вероятность того, что кто-то специально нацеливается на вас, конечно, намного ниже, но если предположить, что вы не являетесь целью, масштабируется только то, сколько вы должны потерять, и чей-то интерес к этому.
Эти риски значительно снижаются, если сетевой путь между вами и рекурсивным сервером, выполняющим проверку, не проходит через Интернет. Это взаимоисключающе по отношению к аутсорсингу, хотя сам трафик не зашифрован.
Дополнительное примечание: OpenDNS действительно реализует dnscrypt , если вы заинтересованы в его использовании, но чтобы пойти по этому пути, вам нужно необходимо определить, что уровень сложности его внедрения и поддержки по сравнению с простым выполнением собственной валидации DNSSEC стоит соотношения затрат и выгод.
Это универсальное правило для ИТ бизнеса среды. Неудивительно, что это применимо и здесь. Если вы вводите внешнюю зависимость в свою сетевую инфраструктуру, что произойдет, когда эта служба выйдет из строя? Каков ваш путь исправления? Кто возместит ущерб?Если служба работает с точки зрения других, но не работает в узком смысле, что влияет только на вашу среду, как быстро вы можете ожидать, что удаленная сторона серьезно отнесется к вашему мнению и выполнит ремонт (SLA)?
Если вы ' Если вы собираетесь создать такую зависимость, убедитесь, что вы каким-то образом платите за услугу. Вы всегда от чего-то отказываетесь, добавляя внешнюю зависимость к своей сети без какой-либо подписки, и ваш выбор не делать этого - значит взвесить ваши шансы на игру.
Я оператор DNS для американского MSO. Тем не менее, такие люди, как я, на самом деле не получат финансовой выгоды от вашего следования этому совету. Миграция с DNS-кластера вашего интернет-провайдера снижает нагрузку на то, что мы управляем.
Настройте корневые ссылки DNS, это сокращает ваши административные расходы и обеспечивает лучшую доступность для внешних DNS-запросов
для интервальных запросов DNS-серверы пересылки работают нормально