Không phải mọi người đều có những kinh nghiệm cần thiết đểthiết kế
những giải pháp cho những ứng dụng ởcấp độcơsởhạtầng nhưDNS (hay
cho Web và email, nhưng đó lại là một chủ đềkhác). Mặc dù nếu bạn theo
những hướng dẫn cơbản thì bạn có thểcó một máy chủDNS ổn định và có
thểnâng cấp không khó khăn lắm.
7 trang |
Chia sẻ: maiphuongtt | Lượt xem: 1848 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Quan tâm đến DNS Server Design, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Quan tâm đến DNS Server Design
Không phải mọi người đều có những kinh nghiệm cần thiết để thiết kế
những giải pháp cho những ứng dụng ở cấp độ cơ sở hạ tầng như DNS (hay
cho Web và email, nhưng đó lại là một chủ đề khác). Mặc dù nếu bạn theo
những hướng dẫn cơ bản thì bạn có thể có một máy chủ DNS ổn định và có
thể nâng cấp không khó khăn lắm.
Sự ổn định và khả năng có thể nâng cấp là một phẩm chất mà tất cả những
người làm ra máy chủ DNS đều cố gắng đạt đến. Dĩ nhiên là những máy chủ DNS
có thể thực thi theo nhiều cách khác nhau, mỗi nhà quản trị hệ thống có vẻ đều có
những mánh lới định dạng hệ thống riêng. Nên nhớ rằng mỗi khi sử dụng mánh lới
để định dạng một hệ thống là một lần bạn đau đầu vì lo lắng về hệ thống sau đó.
Cố gắng đạt đến sự đơn giản và tinh thần bạn sẽ thanh thản.
Giữ cho máy chủ an toàn
Sự an toàn có ý nghĩa quan trọng nhất khi bạn đang định dạng một máy chủ
DNS. Có thể bạn nghĩ rằng sự an toàn chỉ quan trọng khi thành lập một ISP để
tránh cho trang Web bị tin tặc phá hoại hay email bị giả mạo, nhưng thật sự nó rất
quan trọng khi thiết lập cho tập thể. Tính an toàn của DNS rất quan trọng
trong một ISP. Nếu có một kẻ xâm nhập truy cập vào máy chủ DNS của bạn, hắn
có thể hướng vào những bản ghi A tới những máy chủ khác chứa những WebSite
bị xóa. Việc này cũng giống như truy cập vào trang Web chủ phiên bản chính và
xóa nó đi.
Sự truy cập của kẻ xâm nhập cũng có thể được sử dụng để thay đổi bản ghi
MX cho một tên miền. Việc này đem đến những hậu quả còn tệ hơn. Với việc
hướng bản ghi MX tới 1 (mail server), kẻ xâm nhập điều khiển và thậm chí còn
chiếm tên miền bằng cách thay đổi việc đăng ký tên miền. Chú ý là tính không an
toàn này không phải là lỗi của cơ sở hạ tầng của DNS vì đó là lỗi của những nhà
quản trị tên miền. Đó là những người sử dụng MAIL-TO như là một phương pháp
thẩm định những tên miền của họ.
Tính an toàn cho DNS rất quan trọng khi thiết lập cho tập thể, mặc dù nó có
tầm quan trọng không dễ nhận ra hơn. Vấn đề trong môi trường tập thể cũng giống
như trong một ISP: một kẻ xâm nhập có thể thay đổi những bản ghi DNS để nhằm
vào một máy chủ mà hắn điều khiển. Trong trường hợp này, hắn có thể đánh cắp
những dữ liệu quan trọng bằng cách làm cho những người sử dụng nghĩ là họ đang
truy cập vào một máy chủ thực trong khi thực tế là một máy chủ giả. Nên nhớ rằng
hầu hết những cuộc tấn công vào những mạng máy tính tập thể đều đến từ nội bộ,
vì thế tính an toàn của DNS là rất quan trọng ngay cả khi bạn có một bức tường
lửa hay thậm chí không kết nối Internet. DNS không hoạt động trong độc lập.
Không chỉ dịch vụ DNS của bạn cần phải được an toàn mà cả hệ điều hành
bạn sử dụng và máy chủ vật lý cũng cần phải được kiểm tra và thử nghiệm toàn
bộ. Ngay cả khi bạn hoàn toàn bảo đảm an toàn cho những dịch vụ DNS, tất cả chỉ
là số 0 nếu một kẻ xâm nhập mạng máy tính có thể giành quyền kiểm soát hay
quyền điều khiển gốc máy chủ sở hữu DNS. Có lẽ hầu hết đều rõ ràng, bạn nên
giữ an toàn vật lý cho máy chủ ở nơi mà chỉ những người sử dụng được cho phép
mới có thể truy cập. Bạn cũng nên sử dụng chính sách cho hệ điều hành để cấm
những nhân viện không phải là nhà quản trị nhập vào máy chủ. Thường xuyên cập
nhật phần mềm và chương trình cảnh báo an toàn với nhà cung cấp hệ điều hành.
Tính an toàn của máy chủ sở hữu DNS là số một, nếu bạn để vuột mất, bạn sẽ hối
tiếc.
Trong trường hợp khẩn cấp
Khi lập kế hoạch cẩn thận cho cơ sở hạ tầng DNS của bạn, bạn luôn phải có
ít nhất 2 máy chủ DNS để phòng hờ. Nếu một máy chủ không hoạt động, máy còn
lại vẫn có thể phục vụ khách hàng. Trong nhiều trường hợp, những máy chủ DNS
bị dư thừa, nhưng việc này hoàn toàn không được đề cập. Nếu bạn đang sử dụng
một máy chủ DNS và nó ngừng hoạt động, có thể bạn sẽ không thể tránh khỏi việc
trả lời nhiều cuộc điện thoại khó chịu.Bạn có thể cung cấp DNS dư theo 2 cách:
Chính/phụ: trong mối quan hệ DNS chính/phụ truyền thống, (một hoặc
nhiều) máy chủ phụ nhập dữ liệu vùng từ máy chủ chính vào khi khởi động và
những khoảng thời gian ngưng hoạt động cụ thể khi bắt đầu bản ghi gốc của mỗi
vùng. Phương pháp này có một ưu điểm rất lớn : khi tập tin vùng bị thay đổi,
những thay đổi sẽ được tự động truyền qua cho các máy chủ phụ. Thông thường
quá trình này diễn ra ngay khi có những thay đổi nếu được hỗ trợ chức năng
NOTIFY DNS, và nó diễn ra sau thời gian tạm ngưng hoạt động khi bắt đầu bản
ghi gốc nếu không được hỗ trợ NOTIFY.
Mối quan hệ máy chủ DNS chính/phụ cũng có nhược điểm: nếu máy chủ
chính không hoạt động, máy chủ phụ sẽ khởi động lại và không thể di chuyển dữ
liệu vùng. Nếu máy chủ chính không hoạt động và không được phục hồi trước khi
bản ghi DNS bị cũ (bởi vì nó không thể cập nhật từ máy chủ chính) thì không thể
truy cập vùng nữa
Nhiều máy chủ chính: nếu bạn quan tâm hơn đến việc có sẵn DNS mọi
lúc hơn là có những tiện nghi do cấu hình chính/phụ cung cấp, bạn có thể sử dụng
cấu hình nhiều máy chủ. Khái niệm này rất đơn giản: tất cả những máy chủ DNS
đều là máy chủ chính của mỗi vùng. Phần khó khăn nhất của việc có nhiều máy
chủ DNS chính phát sinh khi có sự thay đổi tập tin vùng hoặc cấu hình DNS. Sự
thay đổi phải được thực hiện cho mỗi máy chủ DNS chính và không tự động
truyền đi.
Đừng đặt tất cả trứng vào 1 giỏ
Vị trí của máy chủ DNS là rất quan trọng vì một số nguyên nhân. (Phần
này có nội dung hơi chồng lên 2 phần trước). Hầu hết những môi trường sử dụng 2
máy chủ DNS , một máy chủ chính và một máy chủ phụ hay 2 máy chủ chính nếu
chúng chỉ giấu kín , mặc dù không có giới hạn số lượng máy chủ bạn có thể có.
Bạn phải chú ý đến 2 vấn đề riêng rẽ nhưng có liên quan với nhau về vị trí
máy chủ DNS:
Sự bố trí tường lửa: trong hầu hết các trường hợp, những máy chủ DNS
nội bộ được bố trí trong mạng nội bộ, và những máy chủ có thể truy cập được bên
ngoài được bố trí trong vùng phi quân sự hóa (DMZ) của tường lửa. Đây là khu
vực an toàn nhưng cũng có thể truy cập từ mạng công cộng. Nếu bạn chỉ có một
bộ máy chủ DNS cho cả DNS nội bộ và bên ngoài (mặc dù sự sắp xếp này không
được yêu cầu), bạn nên bố trí chúng trong DMZ và cho những người sử dụng nội
bộ truy cập từ mạng nội bộ hơn là bố trí chúng trong mạng nội bộ và chừa một lỗ
hổng trên tường lửa cho những yêu cầu DNS bên ngoài.
Bố trí những phân đoạn mạng theo vùng địa lý hay theo một cách hợp
lý: bạn có một số lí do để bố trí những máy chủ DNS của bạn trong những phân
đoạn mạng riêng lẻ và những vị trí riêng lẻ , trước hết, để phòng hờ. Nếu một phân
đoạn mạng không hoạt động, hay thậm chí toàn bộ một vị trí bị mất vì trục trặc
trong sắp xếp, bạn vẫn có thể cung cấp dịch vụ DNS. Thêm vào đó, nếu bạn định
dạng hệ thống để sử dụng máy chủ DNS gần trước và sử dụng máy chủ DNS xa
khi máy chủ gần không hoạt động thì có thể đưa đến việc những máy chủ DNS
hoạt động nhiều hơn. Việc có ít nhất một máy chủ DNS nội bộ ở mỗi vị trí địa lý
là rất bình thường