web-dev-qa-db-ja.com

Windowsドメイン環境での再帰DNSのアウトソーシング

OpenDNS(または他の人)のようなサードパーティの再帰DNSプロバイダーを利用して、フィッシング防止とDNSSEC検証のレイヤーを提供することを検討しています(これらの機能を内部で実装する必要はありません)。

内部(Windowsドメイン)DNSが正常に機能できるようにするために、これらの再帰DNSプロバイダーは通常Windows DNSサービスのDNSフォワーダーとして構成されていますか?

再帰DNSをアウトソーシングする際のその他のベストプラクティスや考慮事項はありますか?

2
Beems

あなたの最初の質問に一言で答えるには、「はい」。

2番目の質問に答えるには、通常、ベストプラクティスの質問は非常に主観的であり、StackExchange形式には適していません。経験則では、答えがあるべきであり、それはあなたが引き出そうとしている意見のプールではなく、right答えでなければなりません。

とは言うものの、あなたがしていることに2つの重要な警告があり、それらは私がそれを突き刺す価値があると思うところには十分に重要です。

DNSSECが実際にあなたを保護しているものを知ってください。

検証スタブリゾルバーがOSベンダーによる実装でより広く普及するまで、AD(認証済みデータ)ビットが設定された応答パケットは基本的に次のように言っています。

「私はこのデータを信頼したので、あなたもこのデータを信頼できます!...あなたが私を信頼するなら、と私たちの間のネットワーク。」

それを注意深く読んでください。 「これらの機能を内部で実装する必要を[回避]する」ことが目標である場合は、DNSSECから何が得られるかを必ず理解してください。ほとんどの人はそうしません。これは、remote再帰DNSサーバーに対する攻撃に対してより回復力があることを意味しますが、 yourインフラストラクチャに対する中毒攻撃に対しては完全にオープンです 。もちろん、誰かがあなたを具体的にターゲットにする可能性ははるかに低いですが、あなたがターゲットではないと仮定すると、あなたが失う必要のある量と誰かの興味だけでなく、スケールするだけです。

検証を実行する再帰サーバーとユーザーの間のネットワークパスがインターネットを通過しない場合、これらのリスクは大幅に軽減されます。ただし、トラフィック自体が実際に暗号化されていることを恥ずかしがりながら、それをアウトソーシングすることは相互に排他的です。

補足:OpenDNSは実装します dnscrypt それを活用することに興味がある場合、しかしそのルートに進むには、それを実装してサポートすることの複雑さのレベルを、自分で実行することと比較して決定する必要がありますDNSSEC検証は、費用便益比の価値があります。

あなたはあなたが支払うものを手に入れます。

これは、ビジネスIT環境に対する普遍的なルールです。ここでも当てはまるのは当然のことです。ネットワークインフラストラクチャに外部依存関係を導入する場合、そのサービスがダウンするとどうなりますか?あなたの改善パスは何ですか?誰が損害賠償を支払うつもりですか?サービスが他の人の視点から機能しているが、環境にのみ影響を与える狭い方法で壊れている場合、リモートパーティがあなたの意見を真剣に受け止め、修復(SLA)を実行することをどのくらいの速さで期待できますか?

この種の依存関係を作成する場合は、何らかの方法でサービスの料金を支払っていることを確認してください。なんらかのサブスクリプションなしでネットワークに外部依存関係を追加することによって、常に何かをあきらめています。そうしないという選択は、ギャンブルの可能性を左右します。

完全開示

私はアメリカのMSOのDNSオペレーターです。とは言うものの、私のような人々は、このアドバイスに従ってあなたから経済的に利益を得る立場にはありません。 ISPのDNSクラスターから移行することで、管理対象の負荷が軽減されます。

4
Andrew B