Mạng của chúng ta thường được bảo vệ bởi một phần mềm tường lửa. Nhưng người tiền nhiệm của tôi đã đặt cả máy chủ quản lý hệ thống tên miền chính/phụ (DNS server primary/secondary), chịu trách nhiệm xử lý các miền ra ngoài thế giới mạng được bảo vệ bởi tường lửa. Có cách nào tốt nhất trong việc bảo vệ DNS server trước các vị khách không mời mà đến? (Lượm lặt từ Internet).
Đã có một số, tuy không nhiều cách được đưa ra trong vấn đề ngăn chặn nguy hiểm cho DNS server trước hacker. Bạn nên đặt DNS server sau một tường lửa hiện thời và cung cấp cho chúng địa chỉ IP. Khi cho phép cổng 53 được đi qua tường lửa, chắc chắn rằng cả TCP và UDP cũng phải được qua. Tôi rút ra bài học “xương máu” này khi lần đầu tiên đặt các server DNS sau một tường lửa. Nhiều vấn đề ngắt quãng trong giải pháp hệ thống tên miền (DNS) liên tục xuất hiện cho đến khi TCP và UDP được đi qua tường lửa ở cổng 53.
Nếu server DNS đã ở sau tường lửa hiện thời, bạn nên đặt chúng trong một subnet khác với mạng con của tập hợp server hay thiết bị nào đó đã có trên mạng. Bạn cũng nên đặt lệnh lập danh sách điều khiển truy cập trên switch của mạng con DNS server cư ngụ. Điều này không cho phép lưu lượng được chuyển tới cổng vào trên mạng mà chỉ thực hiện qua kết nối Internet. Lựa chọn khác là đặt server trên kết nối DMZ. Một số tường lửa cho phép sử dụng tuỳ chọn này, nhưng phải cài đặt thêm card mạng bổ sung nếu tường lửa không có cổng phụ sử dụng được.
Hoặc, bạn có thể đặt DNS server sau một tường lửa riêng không kết nối với mạng. Như thế, nếu tường lửa hoặc không DNS server nào bị xâm phạm, mạng của bạn không gặp phải nguy hiểm gì, vì kết nối này không trực tiếp. Nếu cài đặt thêm DNS server thứ ba (giả sử tới thời điểm đó mới chỉ có 2 DNS server), bạn có thể thực hiện tuỳ chọn bảo vệ khác. Trong cấu hình này, cả hai DNS server đều là hệ thống DNS phụ. Thông tin DNS trên server không thể thay đổi trực tiếp. Các thay đổi không qua thẩm định chỉ kéo dài đến khi server phụ nhận được bản update từ server chính mới đã cài đặt. Để thực hiện thành công, server DNS chính không cung cấp địa chỉ IP chung và được cấu hình chỉ liên lạc với DNS server phụ.
Phần mềm DNS bạn đang sử dụng có thể cho phép một số tuỳ chọn thêm khác. Ví dụ, Bind 9 hỗ trợ thành phần gọi chương trình xem, ngăn chặn DNS server đưa ra ngoài giải pháp hệ thống tên miền trên các domain server không được cấu hình để cung cấp thông tin trực tiếp. Có nghĩa là, đây không phải là nguồn server DNS chung ai cũng có thể sử dụng. Lưu lượng mở rộng có thể được “can ngăn” sử dụng DNS server cho các miền chúng không phục vụ.
Bảo vệ server DNS trước hacker như thế nào
650
Bạn nên đọc
-
OpenDNS là gì, những ưu điểm, nhược điểm của OpenDNS
-
Shazam kỷ niệm cột mốc bài hát thứ 100 tỷ được nhận dạng cùng nhiều kỷ lục ấn tượng khác
-
Age of Empires Mobile chốt thời điểm ra mắt chính thức trên iOS và Android
-
Crucial ra mắt mẫu SSD Gen4 NVMe mới giúp Windows khởi động nhanh hơn Samsung, WD
-
Microsoft ngừng hỗ trợ DRM cũ trên Windows Media Player, Windows 7/8, Silverlight
-
5 cách khởi chạy nhanh chương trình trên Windows
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-
12 bài văn về thầy cô hay và ý nghĩa nhất
Hôm qua -
12 mẫu điện thoại có tốc độ 5G nhanh nhất hiện nay
Hôm qua -
Giờ UTC là gì? Cách chuyển giờ UTC sang giờ Việt Nam
Hôm qua -
Hướng dẫn đặt xe trên Be, gọi xe ôm trên ứng dụng Be
Hôm qua -
Lời chúc Valentine ngọt ngào cho người yêu ở xa
Hôm qua -
Hướng dẫn viết hoa trên Google Docs các kiểu
Hôm qua -
Cách thêm điểm dừng tab trong Google Docs
Hôm qua -
Làm thế nào để tắt chế độ kiểm tra chính tả trong Windows 10?
Hôm qua -
Những điều bạn không nên chia sẻ trên mạng xã hội
Hôm qua -
Kiểm soát định dạng khi dán văn bản trong Word
Hôm qua