我们一直在考虑利用第三方递归 DNS 提供商(例如 OpenDNS(或任何人))来提供一层反网络钓鱼和 DNSSEC 验证(而无需在内部实现这些功能)。
为了允许内部(Windows 域)DNS 正常运行,这些递归DNS 提供程序通常是否配置为Windows DNS 服务中的DNS 转发器?
外包递归 DNS 时还有其他最佳实践或注意事项吗?
答案1
用一个词来回答您的第一个问题,“是”。
回答你的第二个问题,最佳实践问题通常非常主观,不适合 Stack Exchange 格式。经验法则是应该有一个答案,并且它应该是正确的答案,而不是你想从中得出的意见池。
话虽如此,你所做的事情有两个重要的警告,它们足够重要,我认为值得尝试一下。
了解 DNSSEC 实际上保护您免受哪些伤害。
在操作系统供应商更加广泛地实施验证存根解析器之前,AD
设置了(已验证数据)位的回复包基本上是这样的:
“我相信这些数据,所以你也可以相信这些数据!……如果你相信我,以及我们之间的网络“”。
请仔细阅读。如果您的目标是“避免”必须在内部实现这些功能,请确保您了解 DNSSEC 能为您带来什么。大多数人都不知道。这意味着您可以更好地抵御针对偏僻的递归 DNS 服务器,但是你仍然完全容易受到针对你的基础设施当然,有人专门针对你的可能性要低得多,但假设你不是目标,那么你就会损失多少以及某人对此的兴趣也会增加。
如果您与执行验证的递归服务器之间的网络路径不跨越互联网,则这些风险会大大降低。不过,这与外包是相互排斥的,除非流量本身实际上被加密。
附注:OpenDNS 确实实现了域名加密如果您有兴趣利用它,但要走这条路,您必须确定实施和支持它的复杂程度与仅执行您自己的 DNSSEC 验证相比是否值得成本:收益比。
你得到你所付出的。
这是企业 IT 环境的普遍规则。它在这里也适用,这应该不足为奇。如果您在网络基础设施中引入外部依赖,当该服务出现故障时会发生什么?您的补救途径是什么?谁来支付损失?如果服务从其他人的角度来看是正常的,但以一种只影响您环境的方式出现故障,您能指望远程方多快认真对待您的意见并进行修复(SLA)?
如果您要创建这种依赖关系,请确保以某种方式为服务付费。在不订阅任何内容的情况下向网络添加外部依赖关系,您总是会放弃一些东西,而不这样做的选择会权衡您的胜算。
全面披露
我是一家美国 MSO 的 DNS 运营商。话虽如此,像我这样的人实际上不会从您遵循此建议中获得经济利益。从 ISP 的 DNS 集群迁移出去会减少我们管理的负载。
答案2
配置 DNS 根提示,可减少您的管理工作,并为外部 DNS 查询提供更好的可用性
对于间隔查询 DNS 转发器工作正常