Tài liệu Quan tâm đến DNS Server Design ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (151.07 KB, 7 trang )
Quan tâm đến DNS Server Design
Không phải mọi người đều có những kinh nghiệm cần thiết để thiết kế
những giải pháp cho những ứng dụng ở cấp độ cơ sở hạ tầng như DNS (hay
cho Web và email, nhưng đó lại là một chủ đề khác). Mặc dù nếu bạn theo
những hướng dẫn cơ bản thì bạn có thể có một máy chủ DNS ổn định và có
thể nâng cấp không khó khăn lắm.
Sự ổn định và khả năng có thể nâng cấp là một phẩm chất mà tất cả những
người làm ra máy chủ DNS đều cố gắng đạt đến. Dĩ nhiên là những máy chủ DNS
có thể thực thi theo nhiều cách khác nhau, mỗi nhà quản trị hệ thống có vẻ đều có
những mánh lới định dạng hệ thống riêng. Nên nhớ rằng mỗi khi sử dụng mánh lới
để định dạng một hệ thống là một lần bạn đau đầu vì lo lắng về hệ thống sau đó.
Cố gắng đạt đến sự đơn giản và tinh thần bạn sẽ thanh thản.
Giữ cho máy chủ an toàn
Sự an toàn có ý nghĩa quan trọng nhất khi bạn đang định dạng một máy chủ
DNS. Có thể bạn nghĩ rằng sự an toàn chỉ quan trọng khi thành lập một ISP để
tránh cho trang Web bị tin tặc phá hoại hay email bị giả mạo, nhưng thật sự nó rất
quan trọng khi thiết lập cho tập thể. Tính an toàn của DNS rất quan trọng
trong một ISP. Nếu có một kẻ xâm nhập truy cập vào máy chủ DNS của bạn, hắn
có thể hướng vào những bản ghi A tới những máy chủ khác chứa những WebSite
bị xóa. Việc này cũng giống như truy cập vào trang Web chủ phiên bản chính và
xóa nó đi.
Sự truy cập của kẻ xâm nhập cũng có thể được sử dụng để thay đổi bản ghi
MX cho một tên miền. Việc này đem đến những hậu quả còn tệ hơn. Với việc
hướng bản ghi MX tới 1 (mail server), kẻ xâm nhập điều khiển và thậm chí còn
chiếm tên miền bằng cách thay đổi việc đăng ký tên miền. Chú ý là tính không an
toàn này không phải là lỗi của cơ sở hạ tầng của DNS vì đó là lỗi của những nhà
quản trị tên miền. Đó là những người sử dụng MAIL-TO như là một phương pháp
thẩm định những tên miền của họ.
Tính an toàn cho DNS rất quan trọng khi thiết lập cho tập thể, mặc dù nó có
tầm quan trọng không dễ nhận ra hơn. Vấn đề trong môi trường tập thể cũng giống
như trong một ISP: một kẻ xâm nhập có thể thay đổi những bản ghi DNS để nhằm
vào một máy chủ mà hắn điều khiển. Trong trường hợp này, hắn có thể đánh cắp
những dữ liệu quan trọng bằng cách làm cho những người sử dụng nghĩ là họ đang
truy cập vào một máy chủ thực trong khi thực tế là một máy chủ giả. Nên nhớ rằng
hầu hết những cuộc tấn công vào những mạng máy tính tập thể đều đến từ nội bộ,
vì thế tính an toàn của DNS là rất quan trọng ngay cả khi bạn có một bức tường
lửa hay thậm chí không kết nối Internet. DNS không hoạt động trong độc lập.
Không chỉ dịch vụ DNS của bạn cần phải được an toàn mà cả hệ điều hành
bạn sử dụng và máy chủ vật lý cũng cần phải được kiểm tra và thử nghiệm toàn
bộ. Ngay cả khi bạn hoàn toàn bảo đảm an toàn cho những dịch vụ DNS, tất cả chỉ
là số 0 nếu một kẻ xâm nhập mạng máy tính có thể giành quyền kiểm soát hay
quyền điều khiển gốc máy chủ sở hữu DNS. Có lẽ hầu hết đều rõ ràng, bạn nên
giữ an toàn vật lý cho máy chủ ở nơi mà chỉ những người sử dụng được cho phép
mới có thể truy cập. Bạn cũng nên sử dụng chính sách cho hệ điều hành để cấm
những nhân viện không phải là nhà quản trị nhập vào máy chủ. Thường xuyên cập
nhật phần mềm và chương trình cảnh báo an toàn với nhà cung cấp hệ điều hành.
Tính an toàn của máy chủ sở hữu DNS là số một, nếu bạn để vuột mất, bạn sẽ hối
tiếc.
Trong trường hợp khẩn cấp
Khi lập kế hoạch cẩn thận cho cơ sở hạ tầng DNS của bạn, bạn luôn phải có
ít nhất 2 máy chủ DNS để phòng hờ. Nếu một máy chủ không hoạt động, máy còn
lại vẫn có thể phục vụ khách hàng. Trong nhiều trường hợp, những máy chủ DNS
bị dư thừa, nhưng việc này hoàn toàn không được đề cập. Nếu bạn đang sử dụng
một máy chủ DNS và nó ngừng hoạt động, có thể bạn sẽ không thể tránh khỏi việc
trả lời nhiều cuộc điện thoại khó chịu.Bạn có thể cung cấp DNS dư theo 2 cách:
Chính/phụ: trong mối quan hệ DNS chính/phụ truyền thống, (một hoặc
nhiều) máy chủ phụ nhập dữ liệu vùng từ máy chủ chính vào khi khởi động và
những khoảng thời gian ngưng hoạt động cụ thể khi bắt đầu bản ghi gốc của mỗi
vùng. Phương pháp này có một ưu điểm rất lớn : khi tập tin vùng bị thay đổi,
những thay đổi sẽ được tự động truyền qua cho các máy chủ phụ. Thông thường
quá trình này diễn ra ngay khi có những thay đổi nếu được hỗ trợ chức năng
NOTIFY DNS, và nó diễn ra sau thời gian tạm ngưng hoạt động khi bắt đầu bản
ghi gốc nếu không được hỗ trợ NOTIFY.
Mối quan hệ máy chủ DNS chính/phụ cũng có nhược điểm: nếu máy chủ
chính không hoạt động, máy chủ phụ sẽ khởi động lại và không thể di chuyển dữ
liệu vùng. Nếu máy chủ chính không hoạt động và không được phục hồi trước khi
bản ghi DNS bị cũ (bởi vì nó không thể cập nhật từ máy chủ chính) thì không thể
truy cập vùng nữa
Nhiều máy chủ chính: nếu bạn quan tâm hơn đến việc có sẵn DNS mọi
lúc hơn là có những tiện nghi do cấu hình chính/phụ cung cấp, bạn có thể sử dụng
cấu hình nhiều máy chủ. Khái niệm này rất đơn giản: tất cả những máy chủ DNS
đều là máy chủ chính của mỗi vùng. Phần khó khăn nhất của việc có nhiều máy
chủ DNS chính phát sinh khi có sự thay đổi tập tin vùng hoặc cấu hình DNS. Sự
thay đổi phải được thực hiện cho mỗi máy chủ DNS chính và không tự động
truyền đi.
