Разделенный горизонт DNS - Split-horizon DNS

В компьютерная сеть, расщепленный горизонт DNS (также известен как разделенный DNS, раздельный DNS, или разделить DNS) - это возможность система доменных имен (DNS) для предоставления различных наборов информации DNS, обычно выбираемой по исходному адресу DNS-запроса.

Это средство может предоставить механизм для управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для доступа к внутренней сети (в пределах административный домен, например, компания) и доступ из незащищенной общедоступной сети (например, Интернет ).

Внедрение DNS с разделенным горизонтом может быть выполнено с помощью аппаратного разделения или программных решений. Аппаратные реализации запускают отдельные устройства DNS-серверов для желаемой степени детализации доступа в задействованных сетях. Программные решения используют либо несколько процессов DNS-серверов на одном оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью различать доступ к Зона DNS записи. Последнее является общей чертой многих серверных программных реализаций протокола DNS (см. Сравнение программного обеспечения DNS-серверов ) и иногда является подразумеваемым значением термина расщепленный горизонт DNS, поскольку все другие формы реализации могут быть реализованы с помощью любого программного обеспечения DNS-сервера.

Обоснование

DNS с разделенным горизонтом может предоставить механизм для управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для доступа к внутренней сети (в пределах административный домен, например, компания) и доступ из незащищенной общедоступной сети (например, Интернет ).

Один из распространенных вариантов использования DNS с разделенным горизонтом - это когда сервер имеет как частный IP-адрес в локальной сети (недоступный из большей части Интернета), так и общедоступный адрес, то есть адрес, доступный через Интернет в целом. При использовании DNS с разделенным горизонтом одно и то же имя может вести к частному или общедоступному IP-адресу, в зависимости от того, какой клиент отправляет запрос. Это позволяет критически важным локальным клиентским машинам получать доступ к серверу напрямую через локальную сеть без необходимости проходить через маршрутизатор. Прохождение через меньшее количество сетевых устройств увеличивает задержку в сети.

Например, DNS-сервер можно настроить для возврата двух разных наборов записей для хоста. host1.example.net для запрашиваемых внутри и вне корпоративной сети. Внутренний ответ может выглядеть так:

@ IN SOA ns.example.net admin.example.net. (2010010101; серийный 1D; обновить 1H; повторить 1W; истечь 3H); минимум @ IN NS nsns IN A 203.0.113.2host1 IN A 10.0.0.10

Хотя внешний ответ будет:

@ IN SOA ns.example.net admin.example.net. (2010010101; серийный 1D; обновить 1H; повторить 1W; истечь 3H); минимум @ IN NS nsns IN A 203.0.113.2host1 IN A 203.0.113.10

Взаимодействие с DNSSEC

DNS с разделенным горизонтом предназначен для предоставления разных авторитетных ответов на один и тот же запрос и DNSSEC используется для обеспечения достоверности данных, возвращаемых системой доменных имен. Эти явно противоречивые цели создают возможность путаницы или ложных предупреждений безопасности в плохо построенных сетях. Исследования дали рекомендации по правильному сочетанию этих двух функций DNS.[1]

Реализации

Внедрение DNS с разделенным горизонтом может быть выполнено с помощью аппаратного разделения или программных решений. Аппаратные реализации запускают отдельные устройства DNS-серверов для желаемой степени детализации доступа в задействованных сетях. Программные решения используют либо несколько процессов DNS-серверов на одном оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью различать доступ к Зона DNS записи. Последнее является общей чертой многих серверных программных реализаций протокола DNS (см. Сравнение программного обеспечения DNS-серверов ) и иногда является подразумеваемым значением термина расщепленный горизонт DNS, поскольку все другие формы реализации могут быть реализованы с помощью любого программного обеспечения DNS-сервера.

Смотрите также

использованная литература

внешние ссылки