DNS (Domain Name System) é um método com uma longa história. Ele pode atribuir nomes de domínio a computadores com endereços IP para que os computadores tenham nomes de caracteres. Por exemplo, o computador com o endereço IP 207.46.193.254 é o servidor Microsoft www. microsoft com. O DNS é bem projetado e funciona muito bem na maioria das vezes. Porém, sempre há algumas situações insatisfatórias e isso vai acontecer, causando dor de cabeça aos administradores. Então, como encontrar as pistas de seu fracasso? Quais são algumas áreas do seu sistema DNS que não são ideais?
Existe algum padrão a seguir? A resposta é sim. Aqui estão sete pecados dos servidores DNS para sua referência:
1. Use uma versão antiga do BIND.
O Bind, como software de servidor DNS de código aberto, é atualmente o software de servidor DNS mais utilizado no mundo. Quase a maioria das versões mais antigas do BIND possui vulnerabilidades sérias e bem conhecidas. Os invasores podem explorar essas vulnerabilidades para derrubar nossos servidores de nomes DNS e comprometer os hosts que os executam. Portanto, você deve usar o BIND mais recente e corrigi-lo a tempo.
2. Coloque todos os servidores de nomes de domínio importantes na mesma sub-rede.
Nesse caso, a falha de um equipamento, como um switch ou roteador, ou a falha de uma conexão de rede impediria que os internautas acessassem seu site ou lhe enviassem e-mails.
3. Permitir recursão para questionadores não autorizados.
Se definido para a seguinte situação:
(recursão sim | não; [sim] permitir recursão {endereço_match_list} [todos os hosts] |
Não é seguro. Aqui, a opção de recursão especifica se o nome consulta outros servidores de nomes de domínio em nome do cliente. Os servidores de nomes geralmente não são configurados para desativar a recursão. Pelo menos deveríamos permitir a recursão para nossos próprios clientes, mas desabilitar a recursão para consultas externas. Porque se você puder lidar com consultas recursivas para qualquer cliente, você exporá o servidor de nomes a envenenamento de cache e ataques de negação de serviço.
4. Permitir que servidores de nomes secundários não autorizados realizem transferências de zona.
Transferência de zona refere-se ao processo de cópia de arquivos de banco de dados de zona entre vários servidores DNS. Se você fornecer serviços de transferência de zona para solicitantes arbitrários, exporá o servidor de nomes de domínio a invasores, causando falha no servidor.
5. Nenhum encaminhador DNS é usado.
Um encaminhador DNS é um servidor que realiza consultas DNS em nome de outros serviços DNS. Muitos softwares de servidores de nomes, incluindo os servidores DNS da Microsoft e alguns servidores de nomes BIND mais antigos, não se protegem adequadamente contra envenenamento de cache, e outros softwares de servidores DNS também possuem vulnerabilidades que podem ser exploradas por respostas maliciosas. Mas muitos administradores permitem que esses servidores de nomes consultem outros servidores de nomes diretamente na Internet, sem usar nenhum encaminhador.
6. Configuração incorreta do valor de início de autoridade (SOA).
SOA marca o início dos dados da zona e define parâmetros que afetam toda a zona. Muitos administradores definem o valor da zona muito baixo, o que pode causar interrupções no sistema quando consultas de liberação ou transferências de zona começam a falhar. Desde que a RFC redefiniu o SOA, algumas pessoas redefiniram o TTL de cache negativo, fazendo com que ele ficasse muito alto.
7. Registros NS incompatíveis em dados de autorização e zona.
Alguns administradores adicionam ou removem servidores de nomes primários, mas esquecem de fazer as alterações correspondentes nos dados de delegação da sua zona (os chamados dados de delegação). Isso aumentará o tempo necessário para resolver nomes de domínio e reduzirá a flexibilidade.
Claro, esses são apenas alguns erros comuns que os administradores podem cometer, mas podem servir como referência básica para configurar o seu servidor DNS.