Dns і брандмауери мережі інтернет

zone "249.249.192.in addr.arpa"

Досить простий варіант настройки: два види, внутрішній і зовн ний. Для внутрішнього вигляду, який відноситься тільки до внутрішньої мережі, рекурсія включена. Зовнішній вигляд відноситься до всіх інших, і рекурсія вимкнена. Зони movie.edu і 249.249.192.in addr.arpa іден тично в обох видах. За допомогою видів можна зробити набагато більше, скажімо визначити різні версії зон для внутрішнього і зовнішнього видів, але ми відкладемо такі варіанти до наступного розділу.

DNS і брандмауери мережі Інтернет

При розробці DNS брандмауери мережі Інтернет в розрахунок не приймається лись. Доказом гнучкості DNS і її реалізації в пакеті BIND є той факт, що DNS можна налаштувати для роботи з брандмауе рами і навіть через них.

Однак настройка BIND для роботи в екранованої середовищі - завдання не те щоб складна, але вимагає якісного, повного розумі ня DNS і деяких маловідомих особливостей BIND. опис

Глава 11. Безпека

настройки займає чималу частину цієї глави, тому почнемо з короткого путівника по ньому.

Спочатку ми розглянемо два великих сімейства брандмауерів Інтер нету - пакетні фільтри і шлюзи прикладного рівня. Особливості кожного сімейства впливають на настройку BIND для спільної роботи з брандмауером. Потім ми опишемо дві найбільш часто використовувані спільно з брандмауерами структури DNS - ретранслятори і внут ренніе кореневі DNS сервери, вивчимо їхні переваги й недоліки. Буде представлено рішення, що поєднує переваги внутрен них кореневих серверів і ретрансляторів, - зони ретрансляції. І на кінець, ми розглянемо розщеплення простору імен і настройку вузла бастіону, який є серцем брандмауера.

Типи програмного забезпечення брандмауерів

Перш ніж почати налаштування BIND для роботи з брандмауером, необ ходимо розуміти, на що здатний мережевий екран. Потенціал брандма Уера впливає на вибір архітектури DNS і визначення способу її реалі зації. Якщо ви не знаєте відповідей на питання, що задаються в цьому разде ле, знайдіть у вашій організації людини, яка знає, і запитайте його. Більш правильним варіантом є співпраця з адміні мусить зареєструвати брандмауера в процесі розробки архітектури DNS, по скільки воно дозволяє гарантувати, що створена структура буде ефективно співіснувати з брандмауером.

Зауважимо, що наведені відомості про брандмауери мережі Інтернет не є повними. У кількох параграфах ми описуємо два най більш поширених типу брандмауерів, використовуючи мінімум по роздрібненість, який необхідний, щоб показати відмінності в потенци но і вплив на DNS сервери. Повне керівництво по цій темі зі тримається в книзі E. Zwicky, S. Cooper і B. Chapman «Building Internet Firewalls» (O'Reilly). 1

Dns і брандмауери мережі інтернет

Мал. 11.1. Пакетні фільтри працюють на мережному і транспортному рівнях стека

Найбільш важливою особливістю пакетних фільтрів є той факт, що їх зазвичай можна налаштувати на виборче пропускання трафіку DNS між вузлами Інтернету і вузлами внутрішньої мережі. Інакше кажучи, доступ до DNS серверів Інтернету можна обмежити довільним набором вузлів внутрішньої мережі. Деякі з таких брандмауерів навіть надають можливість дозволити DNS сер верам внутрішньої мережі робити запити до зовнішніх DNS серверів (але не навпаки). Всі брандмауери Інтернету, створені на основі марш рутізаторов, використовують фільтрацію пакетів. Широко застосовуються комерційні брандмауери з фільтрацією пакетів - FireWall 1 від Checkpoint, PIX від Cisco і NetScreen від Juniper.

Хитрощі спільного використання BIND 8/9 і брандмауерів з фільтрацією пакетів

Сервери BIND 4 завжди посилають запити через вихідний порт 53, стандартний порт для серверів DNS, і на цільовий порт 53. З іншого боку, DNS клієнти зазвичай посилають запити че рез вихідний порт з великим номером (більше 1023) і на цільових виття порт 53. хоча DNS сервери повинні посилати свої запити через цільової порт DNS віддаленого вузла, немає особливих причин по силать запити через вихідний порт DNS. І, хто б міг поду мати, DNS сервери BIND 8 і 9 за замовчуванням не посилають за тання через вихідний порт з номером 53. Навпаки, вони поси гавкають запити через порти з великими номерами, подібно DNS клієнтам.

Dns і брандмауери мережі інтернет

Глава 11. Безпека

Це може служити джерелом проблем при використанні брандмауерів з фільтрацією пакетів, які налаштовані про пускати повідомлення, що посилаються одним DNS сервером іншому, але не повідомлення, що посилаються клієнтом DNS сервера, посколь ку в таких випадках брандмауер очікує, що повідомлення DNS сервера відправлено через вихідний порт з номером 53 і на цільових виття порт 53.

Існує два рішення цієї проблеми:

• Переналаштувати мережевий екран, дозволивши DNS сервера поси лать і приймати запити через порти, відмінні від порту 53 (за умови, що зелене світло для зовнішніх пакетів, посту пающіх через старші порти DNS сервера, що не наражає на небезпеку власне брандмауер).

• Повернути колишнє поведінку BIND, використовуючи припис query source.

Посередники працюють на рівні додатків, декількома рівнями вище в еталонної моделі OSI, ніж пакетні фільтри (рис. 11.2). У ка кому сенсі вони «розуміють» прикладної протокол таким же обра зом, як і сервер для конкретного додатка. Наприклад, посеред ник FTP може дозволити або заборонити певну операцію FTP, наприклад RETR (команда get) або STOR (команда put).