Quan tâm đến DNS Server Design

Quan tâm đến DNS Server Design Không phải mọi người đều có những kinh nghiệm cần thiết để thiết kế những giải pháp cho những ứng dụng ở cấp độ cơ sở hạ tầng như DNS (hay cho Web và email, nhưng đó lại là một chủ đề khác). Mặc dù nếu bạn theo những hướng dẫn cơ bản thì bạn có thể có một máy chủ DNS ổn định và có thể nâng cấp không khó khăn lắm. Sự ổn định và khả năng có thể nâng cấp là một phẩm chất mà tất cả những người làm ra máy chủ DNS đều cố gắng đạt đến. Dĩ nhiên là những máy chủ DNS có thể thực thi theo nhiều cách khác nhau, mỗi nhà quản trị hệ thống có vẻ đều có những mánh lới định dạng hệ thống riêng. Nên nhớ rằng mỗi khi sử dụng mánh lới để định dạng một hệ thống là một lần bạn đau đầu vì lo lắng về hệ thống sau đó. Cố gắng đạt đến sự đơn giản và tinh thần bạn sẽ thanh thản. Giữ cho máy chủ an toàn Sự an toàn có ý nghĩa quan trọng nhất khi bạn đang định dạng một máy chủ DNS. Có thể bạn nghĩ rằng sự an toàn chỉ quan trọng khi thành lập một ISP để tránh cho trang Web bị tin tặc phá hoại hay email bị giả mạo, nhưng thật sự nó rất quan trọng khi thiết lập cho tập thể. Tính an toàn của DNS rất quan trọng trong một ISP. Nếu có một kẻ xâm nhập truy cập vào máy chủ DNS của bạn, hắn có thể hướng vào những bản ghi A tới những máy chủ khác chứa những WebSite bị xóa. Việc này cũng giống như truy cập vào trang Web chủ phiên bản chính và xóa nó đi. Sự truy cập của kẻ xâm nhập cũng có thể được sử dụng để thay đổi bản ghi MX cho một tên miền. Việc này đem đến những hậu quả còn tệ hơn. Với việc hướng bản ghi MX tới 1 (mail server), kẻ xâm nhập điều khiển và thậm chí còn chiếm tên miền bằng cách thay đổi việc đăng ký tên miền. Chú ý là tính không an toàn này không phải là lỗi của cơ sở hạ tầng của DNS vì đó là lỗi của những nhà quản trị tên miền. Đó là những người sử dụng MAIL-TO như là một phương pháp thẩm định những tên miền của họ. Tính an toàn cho DNS rất quan trọng khi thiết lập cho tập thể, mặc dù nó có tầm quan trọng không dễ nhận ra hơn. Vấn đề trong môi trường tập thể cũng giống như trong một ISP: một kẻ xâm nhập có thể thay đổi những bản ghi DNS để nhằm vào một máy chủ mà hắn điều khiển. Trong trường hợp này, hắn có thể đánh cắp những dữ liệu quan trọng bằng cách làm cho những người sử dụng nghĩ là họ đang truy cập vào một máy chủ thực trong khi thực tế là một máy chủ giả. Nên nhớ rằng hầu hết những cuộc tấn công vào những mạng máy tính tập thể đều đến từ nội bộ, vì thế tính an toàn của DNS là rất quan trọng ngay cả khi bạn có một bức tường lửa hay thậm chí không kết nối Internet. DNS không hoạt động trong độc lập. Không chỉ dịch vụ DNS của bạn cần phải được an toàn mà cả hệ điều hành bạn sử dụng và máy chủ vật lý cũng cần phải được kiểm tra và thử nghiệm toàn bộ. Ngay cả khi bạn hoàn toàn bảo đảm an toàn cho những dịch vụ DNS, tất cả chỉ là số 0 nếu một kẻ xâm nhập mạng máy tính có thể giành quyền kiểm soát hay quyền điều khiển gốc máy chủ sở hữu DNS. Có lẽ hầu hết đều rõ ràng, bạn nên giữ an toàn vật lý cho máy chủ ở nơi mà chỉ những người sử dụng được cho phép mới có thể truy cập. Bạn cũng nên sử dụng chính sách cho hệ điều hành để cấm những nhân viện không phải là nhà quản trị nhập vào máy chủ. Thường xuyên cập nhật phần mềm và chương trình cảnh báo an toàn với nhà cung cấp hệ điều hành. Tính an toàn của máy chủ sở hữu DNS là số một, nếu bạn để vuột mất, bạn sẽ hối tiếc. Trong trường hợp khẩn cấp Khi lập kế hoạch cẩn thận cho cơ sở hạ tầng DNS của bạn, bạn luôn phải có ít nhất 2 máy chủ DNS để phòng hờ. Nếu một máy chủ không hoạt động, máy còn lại vẫn có thể phục vụ khách hàng. Trong nhiều trường hợp, những máy chủ DNS bị dư thừa, nhưng việc này hoàn toàn không được đề cập. Nếu bạn đang sử dụng một máy chủ DNS và nó ngừng hoạt động, có thể bạn sẽ không thể tránh khỏi việc trả lời nhiều cuộc điện thoại khó chịu.Bạn có thể cung cấp DNS dư theo 2 cách:  Chính/phụ: trong mối quan hệ DNS chính/phụ truyền thống, (một hoặc nhiều) máy chủ phụ nhập dữ liệu vùng từ máy chủ chính vào khi khởi động và những khoảng thời gian ngưng hoạt động cụ thể khi bắt đầu bản ghi gốc của mỗi vùng. Phương pháp này có một ưu điểm rất lớn : khi tập tin vùng bị thay đổi, những thay đổi sẽ được tự động truyền qua cho các máy chủ phụ. Thông thường quá trình này diễn ra ngay khi có những thay đổi nếu được hỗ trợ chức năng NOTIFY DNS, và nó diễn ra sau thời gian tạm ngưng hoạt động khi bắt đầu bản ghi gốc nếu không được hỗ trợ NOTIFY. Mối quan hệ máy chủ DNS chính/phụ cũng có nhược điểm: nếu máy chủ chính không hoạt động, máy chủ phụ sẽ khởi động lại và không thể di chuyển dữ liệu vùng. Nếu máy chủ chính không hoạt động và không được phục hồi trước khi bản ghi DNS bị cũ (bởi vì nó không thể cập nhật từ máy chủ chính) thì không thể truy cập vùng nữa  Nhiều máy chủ chính: nếu bạn quan tâm hơn đến việc có sẵn DNS mọi lúc hơn là có những tiện nghi do cấu hình chính/phụ cung cấp, bạn có thể sử dụng cấu hình nhiều máy chủ. Khái niệm này rất đơn giản: tất cả những máy chủ DNS đều là máy chủ chính của mỗi vùng. Phần khó khăn nhất của việc có nhiều máy chủ DNS chính phát sinh khi có sự thay đổi tập tin vùng hoặc cấu hình DNS. Sự thay đổi phải được thực hiện cho mỗi máy chủ DNS chính và không tự động truyền đi. Đừng đặt tất cả trứng vào 1 giỏ  Vị trí của máy chủ DNS là rất quan trọng vì một số nguyên nhân. (Phần này có nội dung hơi chồng lên 2 phần trước). Hầu hết những môi trường sử dụng 2 máy chủ DNS , một máy chủ chính và một máy chủ phụ hay 2 máy chủ chính nếu chúng chỉ giấu kín , mặc dù không có giới hạn số lượng máy chủ bạn có thể có. Bạn phải chú ý đến 2 vấn đề riêng rẽ nhưng có liên quan với nhau về vị trí máy chủ DNS:  Sự bố trí tường lửa: trong hầu hết các trường hợp, những máy chủ DNS nội bộ được bố trí trong mạng nội bộ, và những máy chủ có thể truy cập được bên ngoài được bố trí trong vùng phi quân sự hóa (DMZ) của tường lửa. Đây là khu vực an toàn nhưng cũng có thể truy cập từ mạng công cộng. Nếu bạn chỉ có một bộ máy chủ DNS cho cả DNS nội bộ và bên ngoài (mặc dù sự sắp xếp này không được yêu cầu), bạn nên bố trí chúng trong DMZ và cho những người sử dụng nội bộ truy cập từ mạng nội bộ hơn là bố trí chúng trong mạng nội bộ và chừa một lỗ hổng trên tường lửa cho những yêu cầu DNS bên ngoài.  Bố trí những phân đoạn mạng theo vùng địa lý hay theo một cách hợp lý: bạn có một số lí do để bố trí những máy chủ DNS của bạn trong những phân đoạn mạng riêng lẻ và những vị trí riêng lẻ , trước hết, để phòng hờ. Nếu một phân đoạn mạng không hoạt động, hay thậm chí toàn bộ một vị trí bị mất vì trục trặc trong sắp xếp, bạn vẫn có thể cung cấp dịch vụ DNS. Thêm vào đó, nếu bạn định dạng hệ thống để sử dụng máy chủ DNS gần trước và sử dụng máy chủ DNS xa khi máy chủ gần không hoạt động thì có thể đưa đến việc những máy chủ DNS hoạt động nhiều hơn. Việc có ít nhất một máy chủ DNS nội bộ ở mỗi vị trí địa lý là rất bình thường