[ Pobierz całość w formacie PDF ]
.WskazówkaProtokó³ dynamicznego DNS-u opisany w RFC 2136 nie opisuje œrodkówbezpieczeñstwa stosowanych dla rekordów zasobów DNS-u.Wobec tego, przy brakujakiejkolwiek u¿ywanej technologii zabezpieczeñ (takiej, jak opisana w RFC2137), protokó³ DDNS w istocie pozwala ka¿demu, kto jest w stanie skorzystaæ zautorytatywnego serwera nazw, zmieniaæ zawartoœæ dowolnej strefy w tymserwerze.Stanowi to doœæ powa¿ny wzrost podatnoœci na ataki w porównaniu z DNS-em (gdzietylko administrator by³ w stanie modyfikowaæ rekordy zasobów), dlatego te¿zaleca siê zdecydowanie unikanie implementacji dynamicznego DNS-u bezkorzystania z w³aœciwych technologii zabezpieczeñ i œrodków bezpieczeñstwa.DNS-NOTIFY — poradnik blagieraDNS-NOTIFY jest mechanizmem wypychania (push), który pozwala serwerowipodstawowemu na powiadamianie serwerów wtórnych strefy o zachodzeniu zmian wpliku strefy.Podczas gdy zmniejsza to niepotrzebny ruch w sieci, jednoczeœniepozwala na poprawê spójnoœci danych we wszystkich autorytatywnych serwerachstrefy, poniewa¿ serwery strefy s¹ powiadamiane w chwili zajœcia zmiany i niemusz¹ zamiast tego czekaæ na nastêpn¹ zaplanowan¹ replikacjê.Proces DNS-NOTIFY zazwyczaj dzia³a nastêpuj¹co:Lokalny plik strefy w podstawowym serwerze nazw jest modyfikowany.Przy zapisiezaktualizowanego pliku strefy na dysk numer seryjny w polu rekordu SOA jestzwiêkszany, co wskazuje na zapis na dysk nowej wersji pliku strefy.Serwer podstawowy wysy³a do serwerów wtórnych komunikat z powiadomieniem, i¿nale¿¹ one do zestawu serwerów powiadamianych (notify set), który jest list¹serwerów wtórnych wyszczególnionych w serwerze podstawowym za pomoc¹ rekordówNS.Wszystkie serwery wtórne, które otrzyma³y komunikat z powiadomieniem,odpowiadaj¹ poprzez wys³anie zapytania typu SOA z powrotem do powiadamiaj¹cegoserwera (zazwyczaj podstawowego), aby okreœliæ czy plik strefy powiadamiaj¹cegoserwera jest nowszej wersji ni¿ obecnie sk³adowana kopia pliku strefy.Jeœli powiadomiony serwer stwierdzi, i¿ numer seryjny w rekordzie SOA plikustrefy serwera powiadamiaj¹cego jest wy¿szy (nowszy) ni¿ numer seryjny wrekordzie SOA bie¿¹cej kopii strefy, inicjowany jest transfer strefy.Wprzeciwnym razie aktualizacja nie zachodzi a powiadomiony serwer rejestrujepróbê transakcji powiadomienie-aktualizacja jako b³¹d.Przyrostowe transfery stref - poradnik blagieraDNS-IZT (przyrostowe transfery stref) jest idealnym uzupe³nieniem DNS-UPDATE,poniewa¿ opisuje metodê uzyskania bardziej wydajnej propagacji aktualizacjiplików stref pomiêdzy podstawowym serwerem nazw a serwerami wtórnymi w obrêbiestrefy.Zgodnie z obecnymi standardami DNS, ka¿de ¿¹danie aktualizacji danych strefywymaga pe³nego transferu ca³ej bazy danych strefy (tzw.¿¹danie typu AXFR).Dysponuj¹c przyrostowym transferem strefy (DNS-IZT), mo¿na umo¿liwiæ bardziejwydajn¹ replikacjê plików stref, poniewa¿ transfer danych mo¿na ograniczyæ dotych danych, które uleg³y zmianie.Przyrostowe transfery stref korzystaj¹ z poni¿szego procesu w celu zarz¹dzaniaaktualizacjami i replikacjami danych strefy gdy serwer wtórny strefy za¿¹daaktualizacji:Podstawowy serwer nazw utrzymuje kopiê najnowszej wersji pliku strefy orazhistoriê ostatnich wersji.Historia ta notuje wszystkie zmiany rekordów, którewyst¹pi³y w aktualizacjach pliku strefy o najnowszej wersji.Gdy do podstawowego serwera nazw przes³ane zostaje ¿¹danie przyrostowegotransferu strefy z serwera wtórnego, serwer podstawowy porównuje poprzezzapytanie bie¿¹cy numer wersji strefy w serwerze wtórnym (to znaczy, numerseryjny w rekordzie SOA) z w³asnym numerem wersji.Jeœli serwer podstawowy posiada nowsz¹ wersjê pliku, przesy³a do serwerawtórnego jedynie zmiany w rekordach, które wyst¹pi³y pomiêdzy dwoma ró¿nymiwersjami pliku strefy.Jeœli oba serwery — podstawowy i wtórny — posiadaj¹identyczny numer wersji, nie dochodzi do transferu nowych lub zmienionychdanych strefy.W przeciwnym razie, jeœli serwer podstawowy nie obs³ugujeprzyrostowych transferów strefy, mo¿e jako alternatywna metoda aktualizacjistrefy zostaæ zainicjowany pe³ny transfer strefy (AXFR).Rekordy zasobów SRV — poradnik blagieraSerwer DNS Microsoftu zawiera równie¿ obs³ugê DNS-SRV, okreœlaj¹cego nowy typrekordu zasobu (rekord us³ugi SRV).Rekord us³ugi mo¿e byæ wykorzystany dowyszczególnienia us³ug sieciowych TCP/IP dostêpnych w obrêbie danej strefy.Toz kolei pozwala klientowi na wys³anie zapytania, które serwery oferuj¹okreœlon¹ us³ugê lub protokó³ w obrêbie lokalnej strefy DNS i otrzymanie nazwwszelkich dostêpnych serwerów (na przyk³ad, przegl¹darka WWW zgodna z DNS-SRV,chc¹c znaleŸæ us³ugi WWW dostêpne w domenie DNS www.adsf [ Pobierz caÅ‚ość w formacie PDF ]