Sichern der DNS-Bereitstellung

Halten Sie sich bei der Planung Ihrer DNS-Serverbereitstellung (Domain Name System) an die folgenden DNS-Sicherheitsrichtlinien:

• Wenn Ihre Netzwerkhosts keine Namen im Internet auflösen müssen, deaktivieren Sie die DNS-Kommunikation mit dem Internet.
  
  Bei dieser DNS-Bereitstellung können Sie einen privaten DNS-Namespace verwenden, der vollständig in Ihrem Netzwerk gehostet wird. Der private DNS-Namespace wird wie der Internet-DNS-Namespace verteilt, wobei Ihre internen DNS-Server als Host für die Zonen der Stammdomäne und der Domänen der höchsten Ebene dienen.
  
  
• Teilen Sie den DNS-Namespace für Ihr Unternehmen in interne DNS-Server hinter der Firewall und externe DNS-Server vor der Firewall auf.
  
  Bei dieser DNS-Bereitstellung ist Ihr interner DNS-Namespace eine untergeordnete Domäne des externen DNS-Namespace. Wenn der Internet-DNS-Namespace für Ihr Unternehmen beispielsweise tailspintoys.com lautet, ist der interne DNS-Namespace für Ihr Netzwerk corp.tailspintoys.com.
  
  
• Verwenden Sie als Hosts für Ihren internen DNS-Namespace interne DNS-Server und als Hosts für Ihren externen DNS-Namespace externe DNS-Server, die mit dem Internet verbunden sind.
  
  Zur Auflösung von Abfragen für externe Namen, die von internen Hosts gesendet werden, leiten die internen DNS-Server in dieser DNS-Bereitstellung Abfragen für externe Namen an die externen DNS-Server weiter. Externe Hosts verwenden nur die externen DNS-Server für die Internetnamensauflösung.
  
  
• Konfigurieren Sie Ihre Paketfilterungsfirewall so, dass die Kommunikation zwischen dem externen DNS-Server und einem einzelnen internen DNS-Server ausschließlich über den UDP- und TCP-Port 53 möglich ist.
  
  Diese DNS-Bereitstellung ermöglicht die Kommunikation zwischen internen und externen DNS-Servern und verhindert, dass andere externe Computer Zugriff auf Ihren internen DNS-Namespace erhalten.
  
  

Weitere Informationen finden Sie unter Sicherheitsinformationen für DNS.