ডিএনএস পুনরাবৃত্তিটি নিরাপত্তাহীন, তবে অভ্যন্তরীণ অ্যাপ্লিকেশনগুলির জন্য প্রয়োজনীয়?

16

উইন্ডোজ সার্ভার ২০০৮-এর পরিচালনায়, সার্ভারটি কয়েকটি ডোমেনের জন্য ডিএনএস (নেমসারভার) হোস্ট করার পাশাপাশি কিছু অ্যাপ্লিকেশন যা সর্বজনীনভাবে অ্যাক্সেসযোগ্য তা হোস্ট করে।

একটি সুরক্ষা স্ক্যান নির্দেশ করেছে যে ডিএনএস কনফিগারেশনটি অনিরাপদ, কারণ এটি পুনরাবৃত্ত অনুসন্ধানগুলিকে অনুমতি দেয়।

পুনরাবৃত্ত অনুসন্ধানগুলি অক্ষম করার চেষ্টা করা হয়েছিল, তবে বেশ কয়েকটি সমস্যা দেখা দিয়েছে (স্থানীয় অ্যাপ্লিকেশনগুলি থেকে প্রেরিত ইমেলগুলি সরবরাহ করা হয়নি, এবং স্থানীয়ভাবে চলমান একটি অ্যাপ্লিকেশন যা কোনও তৃতীয় পক্ষের সাইটের সাথে সংযুক্ত হয়, সংযোগের জন্য ডোমেন নামটি সমাধান করতে পারে না ইত্যাদি)। সুতরাং এটি উপস্থিত হয় যে ডিএনএস অনুরোধগুলি যা সার্ভারে উত্পন্ন হয় সেগুলি কাজ করতে পুনরাবৃত্ত অনুসন্ধানগুলিতে নির্ভর করে।

সার্ভারে থাকা ডিএনএস কোয়েরিগুলি কাজ করার অনুমতি দেওয়ার সময় সার্ভারে হোস্ট করা ডিএনএস দ্বারা পুনরাবৃত্ত অনুসন্ধানগুলি অক্ষম করার কোনও উপায় আছে কি? আমি ভাবছি যে আমরা যদি স্থানীয় ডিএনএস সার্ভারে পুনরাবৃত্ত অনুসন্ধানগুলি অক্ষম করতে পারি এবং নেটওয়ার্ক সেটিংসে বিদায়ী ডিএনএসকে বাইরের কিছুতে (যেমন 8.8.8.8) সেট করতে পারি, যাতে বিদায়ী ডিএনএস অনুসন্ধানগুলি প্রথমে সেখানে যায় এবং এই সার্ভারের ডিএনএস কেবল শেষ হয় এটি স্থানীয়ভাবে হোস্ট করা ডোমেনগুলির জন্য অনুসন্ধান করা শুরু করে।

আপনার সময় জন্য ধন্যবাদ!

windows  windows-server-2008  domain-name-system 
ilasno
সূত্র

উত্তর:

11

এটা তোলে সমগ্র ইন্টারনেটের সাথে রিকার্সিভ লুকআপ কার্যকারিতা প্রদান না, তাই শুধুমাত্র উত্তর প্রশ্নের আপনার DNS সার্ভার কনফিগার করার এটা প্রামাণিক এর একটি ভাল জিনিস জন্য একটি ভাল ধারণা এম

উপরিভাগে এটি মনে হয় যে আপনি নিজের শেষ অনুচ্ছেদে পৌঁছেছেন এমন সিদ্ধান্তে পৌঁছানো ভাল: একটি ডিএনএস সার্ভার ব্যবহার করার জন্য সার্ভারের নিজস্ব টিসিপি / আইপি সেটিংস কনফিগার করুন যা পুনরাবৃত্ত অনুসন্ধানগুলির জন্য অনুমোদিত। DNS সার্ভার প্রক্রিয়া বিশেষত কোনও কিছুর জন্য সার্ভার কম্পিউটারের এনআইসিতে টিসিপি / আইপি সেটিংসে কনফিগার করা ডিএনএস সার্ভার ব্যবহার করে না। বরং এটি ডিএনএস সার্ভার কনফিগারেশনের উপর ভিত্তি করে অনুরোধগুলি (বা মূল ইঙ্গিতগুলি ব্যবহার করে) ফরওয়ার্ড করে।

সার্ভারে চলমান অ্যাপ্লিকেশনগুলি যখন সেই মেশিনে চলমান ডিএনএস সার্ভারের জন্য ডোমেনগুলির জন্য ক্যোয়ারী করার চেষ্টা করে, শেষ পর্যন্ত, ডিএনএস সার্ভার প্রক্রিয়াটিকে সেই মেশিনে চলবে এবং প্রশ্নের উত্তর দেওয়া হবে।

ইভান অ্যান্ডারসন
সূত্র
14

সার্ভারে থাকা ডিএনএস কোয়েরিগুলি কাজ করার অনুমতি দেওয়ার সময় সার্ভারে হোস্ট করা ডিএনএস দ্বারা পুনরাবৃত্ত অনুসন্ধানগুলি অক্ষম করার কোনও উপায় আছে কি?

মাইক্রোসফ্টের ডিএনএস সার্ভারের সাথে নয়, নেই।

আইএসসি-এর ডিএনএস সার্ভার, বিআইএনএনডি-এর সাহায্যে কেউ দর্শন দিয়ে জিনিসগুলিতে ভ্রমন করতে পারে। মাইক্রোসফ্টের ডিএনএস সার্ভারে এ জাতীয় কোনও ব্যবস্থা নেই। সুতরাং মাইক্রোসফ্ট ডিএনএস সার্ভারের প্রদত্ত উদাহরণগুলির জন্য, এটি নির্বাচন করতে হবে এটি জনসাধারণের সামগ্রী ডিএনএস সার্ভার বা কোনও সাইট-স্থানীয় প্রক্সি ডিএনএস সার্ভার। এটি বিভিন্ন ডিএনএস ক্লায়েন্টের কাছে জিনিসগুলিকে ভোগ করতে এবং বিভিন্ন ধরণের সার্ভার হওয়ার ভান করতে পারে না।

সুরক্ষা পরীক্ষার পরিষেবা / সরঞ্জামটি বেশ সঠিক। প্রক্সি সার্ভিস - কোনও প্রকারের প্রক্সি পরিষেবা না দেওয়া সর্বোত্তম অনুশীলন: এটি হ'ল এইচটিটিপি প্রক্সি সার্ভিস, ডিএনএস প্রক্সি সার্ভিস, বা এসএমটিপি সাবমিশন সার্ভিস - নিজের সাইটের বাইরের ইন্টারনেটের বাকী ইন্টারনেট। আপনাকে অনেক উচিত আছে পৃথক সার্ভার : একটি কন্টেন্ট DNS সার্ভার আপনার ডোমেইন নাম যে আপনি ইন্টারনেটে সবার সাথে নিবন্ধীকৃত করেছেন, প্রায় আপনার সর্বজনীন ডিএনএস তথ্য, প্রকাশনা; এবং একটি স্থানীয় প্রক্সি ডিএনএস সার্ভার, যা আপনার ল্যানের / সংস্থার কম্পিউটারগুলির পক্ষে কোয়েরি রেজোলিউশনের গুরুতর কাজ করে, এটি কেবল আপনার প্রতিষ্ঠানের / আপনার ল্যানের মেশিনগুলিতে অ্যাক্সেসযোগ্য। মাইক্রোসফ্টের ডিএনএস সার্ভারের সাহায্যে এটি বিশেষত সহজ নয়।

আপনার মেশিনটি যদি একটি ডোমেন নিয়ামকও হয় তবে এটি বিশেষত কঠিন হবে । আপনি বলেছেন যে এই যন্ত্রটি পুরো ইন্টারনেট থেকে সরাসরি পৌঁছতে পারে। যদি এই জাতীয় কোনও মেশিন কোনও ডোমেন নিয়ামক হয় তবে আপনার এখন আপনার নেটওয়ার্ক সংস্থাকে পুনরায় চিন্তা করা উচিত । আপনি কেবল প্রক্সি ডিএনএস পরিষেবা নয়, জনসাধারণের কাছে ভয়াবহ অভ্যন্তরীণ পরিষেবাদি প্রকাশ করছেন। সুতরাং এই ধারণাটি নিয়ে কাজ করি যে এটি কোনও ডোমেন নিয়ামক নয়।

যেহেতু এটি কোনও ডোমেন নিয়ামক নয়, এবং এটি কেবলমাত্র একজন সদস্য সার্ভার , তাই আপনার প্রয়োজন নেই যে মেশিনে থাকা ডিএনএস ক্লায়েন্টের উচিত মেশিনের নিজস্ব ডিএনএস সার্ভার (বা, প্রাথমিকভাবে, অন্য কোনও ডোমেন নিয়ামকের ডিএনএস সার্ভার) প্রক্সি জন্য ব্যবহার করা উচিত ডিএনএস পরিষেবা, এটি ডোমেন নিয়ন্ত্রকদের ক্ষেত্রে। আপনার যদি থাকে তবে আপনি মেশিনের ডিএনএস সার্ভারে প্রক্সি ডিএনএস পরিষেবাটি বন্ধ করতে পারবেন না। ভাগ্যক্রমে, এটি কোনও ডোমেন নিয়ামক নয়, এবং এর ডিএনএস ক্লায়েন্ট নিজেই নয়, প্রক্সি ডিএনএস পরিষেবার জন্য অন্য কিছু মেশিন ব্যবহার করতে পারে।

সদস্য সার্ভার মেশিনে থাকা ডিএনএস ক্লায়েন্টকে এখনও একটি অভ্যন্তরীণ প্রক্সি ডিএনএস সার্ভার ব্যবহার করতে হবে । আপনার আইএসপি, গুগল বা অন্য কোনও পক্ষের দ্বারা সরবরাহ করা যেমন আপনার সক্রিয় ডিরেক্টরি আপনার ল্যানে ব্যবহার করছে এমন সমস্ত ডিএনএস ডেটা জানে না এমন কোনও বাহ্যিক ডিএনএস সার্ভারে আপনি এটি নির্দেশ করতে পারবেন না । যদিও আপনি নিজের এক বা একাধিক ডোমেন নিয়ন্ত্রকের ডিএনএস সার্ভারে মেশিনের ডিএনএস ক্লায়েন্টকে নির্দেশ করতে পারেন। এটি মোটামুটি সহজ, এবং আপনি যা করছেন - সর্বোপরি আপনার ল্যানে আপনার সমস্ত ওয়ার্কস্টেশন ইতিমধ্যে করছেন । আপনার সদস্য সার্ভারে থাকা ডিএনএস ক্লায়েন্টকে কেবল আপনার সমস্ত ওয়ার্কস্টেশনের ডিএনএস ক্লায়েন্টের মতো কনফিগার করা দরকার ।

আপনার মেশিনের ডিএনএস ক্লায়েন্টটি প্রক্সি ডিএনএস পরিষেবার জন্য মেশিনে চলমান ডিএনএস সার্ভারটি ব্যবহার করছে না তা প্রদত্ত, আপনি কেবল মাইক্রোসফ্টের ডিএনএস সার্ভারটি কাউকে কোনও ফর্মের প্রক্সি ডিএনএস পরিষেবা না দেওয়ার জন্য কনফিগার করেছেন।

আরও পড়া

JdeBP
সূত্র
চমৎকার লেখার আপ।
নিক
আমি তথ্য প্রশংসা করি, আপনাকে ধন্যবাদ! আমি এখানে একটি ছোট অবকাঠামো নিয়ে কাজ করছি, সুতরাং উপস্থাপিত সমাধানটি এই দৃশ্যের জন্য ওভারকিল।
ইলাসনো
কেবলমাত্র একটি द्रुत নোট যে এটি সার্ভার ২০১ of-এর মতো আর সত্য নয় - উইন্ডোজ এখন ক্লায়েন্টের ঠিকানার উপর নির্ভর করে পুনরাবৃত্ত অনুসন্ধানকে সীমাবদ্ধ করার বিকল্প সহ স্প্লিট-ব্রেন ডিএনএসকে সমর্থন করে। তবে, জনসাধারণের অনুরোধগুলির জন্য একটি স্বাধীন সার্ভার স্থাপন করা এখনও আরও সহজ সরল বিকল্প is
বব
5

ইভান তার উত্তরে যেমন বলেছিল, আপনার অ্যাপ্লিকেশনগুলিতে সার্ভারে DNS ক্লায়েন্ট উপাদানটি ব্যবহার করা দরকার যা ডিএনএস সার্ভার উপাদান থেকে সম্পূর্ণ স্বতন্ত্র। ডিএনএস সার্ভার উপাদানটি পুনরাবৃত্তি না করার জন্য কনফিগার করা যেতে পারে, এটি কেবল এটি ডিএনএস জোনগুলির জন্য প্রাসঙ্গিক করা প্রশ্নের উত্তর দিতে অনুমতি দেয় যার জন্য এটি অনুমোদিত।

অ্যাপ্লিকেশনগুলি প্রাসঙ্গিক এনআইসির টিসিপি / আইপি বৈশিষ্ট্যে কনফিগার করা ডিএনএস সার্ভারগুলি ব্যবহার করতে পারে, যা কোনও ডিএনএস সার্ভারগুলি পুনঃবিবেচনা (যেমন গুগলের ডিএনএস সার্ভার) সম্পাদন করবে তা ব্যবহারের জন্য কনফিগার করা যেতে পারে। সম্পর্কিত এনআইসির টিসিপি / আইপি বৈশিষ্ট্যে কনফিগার করা ডিএনএস সার্ভারগুলিকে একই সার্ভারে চলমান ডিএনএস সার্ভারের দিকে নির্দেশ করার দরকার নেই।

joeqwerty
সূত্র
0

আমার সবেমাত্র একই সমস্যা হয়েছিল এবং আমাদের ডিএনএস সার্ভারটি প্রশস্তকরণের আক্রমণে ব্যবহার করা হচ্ছে। তবে আমাদের অন্যান্য অভ্যন্তরীণ সার্ভারগুলির জন্য আমার পুনরাবৃত্তি চালিয়ে যাওয়া দরকার।

আপনার যদি সিসকো রাউটার থাকে তবে এখানে একটি সম্ভাব্য ফিক্স। আমি আমাদের বাহ্যিক ডিএনএসকে সিসকো 7200VXR রাউটারে স্থানান্তরিত করেছি এবং কেবলমাত্র নির্দিষ্ট ডিএনএস জোনে উত্তর দেওয়ার জন্য এটি কনফিগার করেছি। এটি অভ্যন্তরীণ ডিএনএস সার্ভারকে জিজ্ঞাসা করবে যাতে আপনাকে দুটি জায়গায় সমস্ত কিছু প্রবেশ করতে না হয়।

এখানে আমি ব্যবহার করা সিসকো কনফিগারেশনের একটি স্নিপেট রয়েছে:

ip dns view default
 dns forwarder 192.168.0.xx (internal DNS server)
 domain round-robin

ip dns view-list default
 view default 1
  restrict name-group 1

ip dns name-list 1 permit abc.com
ip dns name-list 1 permit def.com
ip dns name-list 1 permit anyotherdomainthatyouhost.com
ip dns name-list 1 permit 3.2.1.in-addr.arpa (needed for reverse PTR lookups)

interface fastethernet0/0 (the interface where the IP address is that will host DNS)
 ip dns view-group default
 ip address 1.2.3.4 secondary (use the public facing IP you will use to host DNS)

ip dns server

এছাড়াও, অ্যাক্সেস তালিকার সাথে রাউটারে ডিএনএস প্যাকেটগুলিতে প্রবেশ করতে ভুলে যাবেন না, যেমন:

permit udp any host 1.2.3.4 eq domain
Brain2000
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.