Межсетевое экранирование
Угрозы для транзакций DNSУгрозы DNS-запросам и ответам и способы обеспечения защиты
Поддельный или выдуманный ответ
Удаление некоторых ресурсных записей
Защищенный подход для DNS Query/Response – DNSSEC
Угрозы зонной пересылке и способы обеспечения защиты
Угрозы для динамических обновлений и способы обеспечения защиты
Угрозы DNS NOTIFY и способы обеспечения защиты
Выводы
Создание безопасного окружения для сервисов DNS
Безопасность платформы
Безопасность ПО DNS
Использование самой последней версии ПО name-сервера
Выполнение ПО name-сервера с ограниченными привилегиями
Изоляция ПО name-сервера
Выделенный экземпляр name-сервера для каждой функции
Удаление ПО name-сервера с не предназначенных для этого хостов
Сетевое и географическое расположение авторитетных name-серверов
Использование расчлененных зонных файлов
Использования отдельных name-серверов для различных типов клиентов
Управление содержимым зонного файла
Безопасность транзакций DNS
Ограничение участников транзакций на основе IP-адреса
Ограничение участников транзакции DNS Query/Response
Ограничение рекурсивных запросов (специальный случай DNS Query/Response)
Ограничение участников транзакции зонной пересылки
Ограничение участников транзакции динамического обновления
Ограничение участников транзакции DNS NOTIFY
Защита транзакции с использованием НМАС (TSIG)
Создание ключа
Определение ключей для взаимодействующих name-серверов
Указание name-серверу использовать ключи во всех транзакциях
Безопасность зонных пересылок с использованием TSIG
Безопасность динамических обновлений с использованием TSIG
Конфигурирование ограничений перенаправления динамических обновлений с использованием ключей TSIG
Конфигурирование более точных ограничений динамического обновления с использованием TSIG-ключей
Содержание раздела
