Utisci korisnika

"Slučajno sam na nekoj diskusiji Infostuda našla vaš link i prosto sam zapanjena, obradovana i neizmerno ponosna što i u SRBIJI možemo da se služimo e-learning opcijom usavršavanja."…

Da li zato što je DLS novina kod nas (bar za mene)ili još više što će mi koristiti, tek, nalazim da je Arhitektura, izgradnja i održavanje PC računara prava stvar i svakom…


Kompletna lista utisaka

Testiranje online

Arhitektura računara

Za one koji žele da znaju više.

Windows OS

Ovo bi svakako trebalo da probate.

Odnosi s javnošću

Koliko znate PR?

Pogledajte još neke od testova

Newsletter

Ukoliko želite da Vas redovno obaveštavamo o novostima sa Link eLearning sajta prijavite se na našu newsletter listu.

Ime:

Prezime:

Email:


Anketa

Arhiva anketa

BAZA ZNANJA


Kurs: 6421: Rešavanje problema i konfiguracija Windows Server 2008 mrežne infrastrukture

Modul: Upravljanje migracijom servera (Server Migration)

Autor: Test Instruktor

Naziv jedinice: Konfiguracija DNS zonskih transfera


Materijali vezani uz ovu lekciju:

- Test konfiguracija dns zonskih transfera
- Konfiguracija DNS zonskih transfera (PDF dokument)



DNS transfer zone je način na koji DNS infrastruktura pomera (Moves) DNS zonske informacije sa jednog servera na drugi. Ova lekcija pokriva različite metode koje DNS serverska uloga koristi prilikom zonskog transfera.

Slika 07.01

Transfer zona je kompletan ili delimičan transfer svih podataka u zoni sa primarnog DNS servera koji hostuje zonu na sekundarni DNS server koji hostuje nepromenljivu kopiju zone ili promenljivu kopiju zone. Kada se dogode određene promene u zonskom fajlu na primarnom DNS serveru, tada primarni DNS server obaveštava sekundarni DNS server da su se dogodile promene i da su promene replicirane ka svim sekundarnim DNS serverima za tu zonu koristeći zonski transfer.

Nakon kompletne lekcije ćete naučiti:

  • Da opišete kako DNS zonski transfer funkcioniše.
  • Da opišete kako rade DNS obaveštavanja.
  • Da konfigurišete DNS transfere zona.



Kako rade DNS transferi zona
: Postoje dva tipa DNS zonskih transfera: Full zone transfer i Incremental zone transfer. 

Primarni DNS server je administrativna lokacija za zonu i master kopija zone. Primarni DNS server ima dve funkcije: sadrži Read-Write kopiju zonske baze podataka i kontroliše promene u zoni.

Sekundarni DNS server je server koji održava kopiju postojeće DNS zone.

Master server je DNS server koji odrađuje transfer promena u zoni ka drugom DNS serveru. Master server može da bude i primarni DNS server ili sekundarni DNS server, u zavisnosti od toga kako server dobija zonske podatke.

DNS Zone Transfer je sinhronizacija autoritativnih DNS podataka između DNS servera. DNS server na kome je konfigurisana sekundarna zona periodično postavlja upite Master DNS serveru jer želi da sinhronizuje svoj zonski fajl sa zonskim fajlom na DNS Master serveru.
Zone transfer radi na TCP-u i ima oblik klijent-server transakcije. Učesnici u samom procesu zonske razmene su klijent (sekundarni DNS server koji potražuje razmenu) i server (master server koji ima sve podatke u bazi i izvršava razmenu).

Full Zone Transfer je standardni tip upita koji podržavaju svi DNS serveri kojim se ažuriraju i sinhronizuju zonski fajlovi kada je zona promenjena. Kada je DNS upit kreiran koristeći AXFR kao tip upita, kao odgovor odradiće se transfer celog zonskog fajla. AXFR upit je zahtev za kompletan transfer zone.

Incremental zone transfer je alternativni tip upita koji koriste neki DNS serveri da ažuriraju i sinhronizuju zonske fajlove kada je zona promenjena od poslednjeg ažuriranja. Kada dva DNS servera podržavaju inkrementalni zonski transfer, serveri mogu da ažuriraju samo inkrementalne promene zapisa (promene u zonskom fajlu od poslednjeg ažuriranja DNS zona) resursa između svake verzije zone.

Svrha zonskog transfera je da se osigura da oba DNS servera koji hostuju istu zonu (primarni i sekundarni) hostuju identični zonski fajl sa apsolutno identičnim informacijama. Bez zonskog transfera, podaci na primernom server bi bili tačni, ali sekundarni DNS server ne bi imao ažuriranu kopiju zonskog fajla. Iz tog razloga sekundarni server ne bi mogao da podrži razrešavanje imena za tu zonu.

Proces transfera zone:

  1. Sekundarni server za zonu čeka određeni vremenski period (Refresh interval). Nakon tog perioda vremena sekundarni DNS server postavlja upit master server i traži informacije iz SOA zapisa.
  2. Master Server za tu zonu odgovara slanjem svog SOA zapisa.
  3. Sekundarni server za tu zonu proverava serijski broj u SOA zapisu koji je dobio od master servera sa svojim SAO zapisom. Ako je serijski broj u SOA zapisu, koji je dobio od master servera, drugačiji od serijskog broja SOA zapisa koji sekundarni server poseduje u svojoj kopiji zonskog fajla, tada je baza podataka na sekundarnom server neažurirana. Master server tada šalje AXFR upit u kojem od sekundarnog server zahteva transfer zone. Ako DNS Serveri podržavaju inkrementalni transfer zone (Windows server 2000 & Windows Server 2003), tada master server šalje IXFR zahtev za transferom zonskog fajla i u tom transferu šalju se samo podaci koji su promenjeni od poslednjeg ažuriranja koje su odradili sekundarni i master server.
  4. Za kompletan transfer zone, Master server za zonu šalje zonski Database fajl  ka sekundarnom server, a za inkrementalni zonski transfer, master server šalje samo zonske podatke koji su promenjeni.



Važno
: Po defoltu, DNS Serverski servis samo dozvoljava da zonske informacije budu poslate serverima koji se nalaze u listi Name Servera (NS) u zonskom fajlu. Ovo je konfiguracija koja pruža dodatnu sigurnost. Za još viši nivo sigurnosti, ipak, potrebno je selektovati opciju koja dozvoljava transfere zona samo ka određenim IP adresama. Dozvoljavanje zonskog transfera ka svim DNS Serverima može da ugrozi bezbednost DNS podataka i može da omogući da napadač ukrade važne podatke sa DNS Servera. 


Kako radi DNS Notify (obaveštenje)

DNS Notify (obaveštenje) je nadogradnja originalne DNS protokol specifikacije koja dozvoljava obaveštenja sekundarnih servera kada se dogode promene u zonskim fajlovima na primarnim DNS serverima.

Notify List je lista u zoni drugih DNS servera koji bi trebalo da budu obavešteni kada se promene u zoni dogode na primarnom serveru. Notify lista koju održava master server je sačinjena od IP adresa DNS servera koji su konfigurisani kao sekundarni DNS serveri. Kada su DNS serveri iz Notify liste obavešteni o promenama koje su se dogodile u zonskom fajlu, oni će inicirati zonski transfer sa drugim DNS serverom i ažuriraće svoj zonski fajl.

Serveri koji su obevešteni, mogu da iniciraju transfer zone da bi dobili sve promene koje su se dogodile na njihovim master serverima i replikama ažuriraju svoje zonske fajlove.

Ovo je bitan napredak. Ranije su sekundarni server bili konfigurisani da u određenom vremenu odrađuju kopiranje zonskih fajlova. Kada koristimo Notify, kopije zonskih fajlove će biti ažurirane kada se dogode neke neplanirane promene u zonama.

DNS Notify može da pomogne u poboljšanju konzistentnosti zonskih podataka kroz sekundarne servere. Na primer, ako se DNS transferi zonskih fajlova odrađuju u određeno vreme, dve situacije mogu da se dogode:

  • Da nema promena koje su se dogodile u DNS zoni.
  • Da prođe nekoliko minuta pre početka zonskog transfera. Zona može da se promeni ponovo u toku tog perioda tako da ove promene neće biti poslate ka sekundarnom serveru.



Korišćenjem DNS obaveštenja ažuriranje će se dogoditi svakog puta kada se dogodi promena u zoni. Kao dodatak, DNS serveri koji rade na Windows Server 2008 ili Windows Server 2003 podržavaju inkrementalne transfere, tako da master server šalje samo podatke koji su promenjeni od poslednjeg ažuriranja ka sekundarnim DNS serverima.


Zaštita zonskog transfera

Zonske informacije nude podatke organizacije tako da je obaveza administratora da preduzme sve odgovarajuće mere zaštite kako bi osigurao i zaštitio transfer zonskih podataka od malicioznog pristupa i od namernog prepisivanja zonskih podataka koristeći Bad Data (proces je poznat kao DNS Poisoning). Jedan način na koji možete da zaštitite infrastrukturu je zaštita zonskih trasfera i korišćenje sigurno dinamičko ažuriranje (Secure Dynamic Updates).

Slika 07.02

Načini na koje možemo da zaštitimo transfer zone: Zonske informacije nude mnogo informacija koje se odnose na organizaciju. Administratori bi morali da preduzmu sve korake kako bi zaštitili zonske podatke od malicioznog pristupa i prepisivanja pogrešnim podacima. Dakle ako želimo da zaštitimo našu DNS infrastrukturu, obavezno moramo da zaštitimo zonske transfere. Načini na koje možemo da zaštitimo transfere zona su:

  • Korišćenje liste poverljivih servera (Trusted Servers) koji mogu da izvršavaju transfer zona. Ove opcije se takođe mogu koristiti za zabranjivanje zonskog transfera i za podešavanje transfera podataka na samo one servere koji transfer i zahtevaju.
  • Možemo da iskoristimo IPSec protokol i VPN za zaštitu zonskih transfera. Opcije pomoću kojih možemo da odredimo servere koji mogu da zahtevaju zonski transfer nude sigurnost ograničavanjem servera koji mogu da primaju podatke, ali ove opcije ne štite podatke u toku prenosa. Ako su zonske informacije visoko poverljive, preporučuje se da zonski transferi budu replicirani preko VPN tunela ili da se koristi IPSec polisa za zaštitu prenosa podataka. Korišćenje VPN tunela i IPSec protokola sprečava Packet Sniffing za razrešavanje informacija u toku prenosa podataka.
  • Sledeći način za zaštitu zonskih transfera je korišćenje AD-integrisanih zona. Korišćenje AD-integrisanih zona replicira zonske podatke kao deo normalne replikacije aktivnog direktorijuma. Kada konfigurišemo domenski kontroler, aktivni direktorijum zahteva instalaciju DNS servisa. Zone koje su kreirane na DNS serveru koji je i domenski kontroler u aktivnom direktorijumu, mogu da budu AD-integrisane DNS zone. AD-integrisane DNS zone imaju nekoliko prednosti u poređenju sa običnim zonama (primarnim, sekundarnim i stub). AD-integrisane zone mogu da koriste aktivni direktorijum, da smeste zonske konfiguracione podatke u aktivnom direktorijumu, umesto da zonski konfiguracioni podaci budu smešteni u zonskom fajlu, koristi Active Directory Replication umesto zonskog transfera, dozvoljava samo sigurno dinamičko ažuriranje (umesto sigurnog i nesigurnog ažuriranja na običnoj Primarno DNS zoni).



Kako se povećava upotreba DNS zone transfer funkcionalnosti, koja omogućava postojanje više od jednog DNS servera na mreži i stalnu sinhronizaciju upisa iz DNS baze na sve DNS servere čime se postiže ažurnost podataka, tako je i broj mogućih zloupotreba i broj napada veći.

Osnovni DNS zone transfer napadi nisu nešto posebno uzbudljivi. Pretvarate se da ste sekundarni DNS server  i tražite od Master servera kopiju zonskih zapisa i on vam ih, ukoliko nisu konfigurisani Trusted Servers, pošalje. DNS je jedan od starijih Internet protokola koji je dizajniran u vreme kada su svi na internetu zvali sve i nije bilo briga vezanih za ovu činjenicu, pa su serveri bezuslovno verovali jedni drugima.

Vredi uložiti napor na zaustavljanje Zone transfer napada, jer ukradena kopija baze DNS-a može da otkrije ogromnu količinu informacija vezanih za vašu infrastrukturu. Na primer, ako neko planira da napadne vaš DNS spufovanjem ili trovanjem baze (spoofing, poisoning), od velikog značaja će mu biti to što ima kopiju validnih DNS zapisa.

Dakle, najbolja praksa je zaustaviti DNS zone transfer i svesti ga na najmanju moguću meru, odnosno uputiti primarni DNS server na IP adrese sekundarnih i zabraniti mu da vrši sinhronizaciju sa bilo kojom drugom adresom. Kod sofisticiranijih podešavanja, administratori potpisuju razmene digitalnim sertifikatima.


Smatrate da je ova lekcija korisna?  Preporučite je. Broj preporuka:1


Molimo Vas unesite svoje podatke i dobićete pristup besplatnim lekcijama.

Ime: 
Prezime: 
Email: