منظور از Stealth Name Server و Split Horizon و Authoritative Only در DNS Server چیست؟
بطور کلی در طراحی DNS Server به عنوان مهمترین سرویس در یک شبکه و زیرساخت متدهای مختلفی وجود دارد که گاهاً با توجه به نیازهای امنیتی و… می بایست بهترین نوع را با توجه به نیاز سازمان و شرکت خود جهت طراحی و پیاده سازی انتخاب نماییم. در این مقاله به 3 مورد از این موارد در طراحی های DNS Server اشاره خواهیم کرد.
منظور از Stealth (A.K.A. DMZ or Hidden Master) Name Server چیست؟
منظور از Stealth Name Server در واقع یک Name Serverی است که در هیچیک از NS رکوردهای public برای دامین ظاهر نمی شود. Stealth server تقریباً می تواند برای موارد زیر تعریف شود:
مثلاً سازمان شما جهت دسترسی به سرویس های public خودش مثل web server و mail server و ftp server و… نیاز به یک Public DNS دارد.
یا اینکه سازمان شما نمی خواهد که کل دنیا بتوانند hostهای داخلیش را حتی توسط query گرفتن یا Zone transferring بین سرورهای DNS ببینند که مسأله باعث شود DNS به خطر بیوفتد.
منظور از Split Horizon DNS Server چیست؟
به طور کلی سرورهایی را که می خوایم public باشند و publish ششان کنیم را در DMZ Zone قرار می دهیم و طبق design هم طراحیشان معمولاً به دو صورت انجام می شود:
اینکه ما یک Three-Legs Firewall داریم و یک اینترفیس به DMZ، یک اینترفیس به Internal Network و یک اینترفیس هم به External Network داریم.
حالتی که در لبه شبکه مان دو تا FW بصورت Back-to-Back داریم و بین آنها DMZ Zone او ایجاد کرده ایم.
در مورد بحث DNS که چرا در DMZ باید یک DNS بذاریم هم این بسته به توپولوژی شبکه دارد. گاهی اوقات از طراحی Split DNS که به آن Split-Horizon DNS یا Split-View DNS هم گفته می شود، استفاده می کنیم.
در این طراحی ما معمولاً 2 عدد سرور DNS را در شبکه مان در نظر می گیرم. یکی Internal DNS Server و دیگری External DNS Server هست و External DNS را در DMZ Zone قرار می دهیم. در این حالت معمولاً External DNS شامل Zone fileهای کوچیکی برای یک domain است و رکوردهایش هم معمولاً شامل رکوردهای FTP Server و Web Serverها و سایر سرورهایی هستند که ما آنها را در DMZ مان publish کرده ایم.
در این طراحی یک Internal DNS سرور هم داریم که شامل رکوردهای داخلی LAN مان است و به requestهای کاربران داخلی سرویس می دهد. معمولاً هم رکوردهای مربوط به سرورهای Public را در داخل DNS سرور internal یا برعکس رکوردهای مربوط به سرورهای Server Farm ممان را در داخل External DNS تعریف نمی کنیم. (هر چند گاهی اوقات یکسری از ادمین ها این کار را می کنند که اشتباه است، چون اساساً External DNS یک Alternative DNS برای Internal DNS نیست و همینطور برعکس).
منظور از Authoritative Only DNS Server چیست؟
منظور از سرور Authoritative Only DNS یک DNS Serverی هست که به DNS queryهای شما مثل IP آدرس mail server و IP آدرس web site و… جواب واقعی می دهد!!! (یعنی خودش یک سرور DNS واقعی است و اینطور نیست که مثل یک cache server باشد و از name serverهای دیگر درخواست ها را cache کرده باشد و زمانیکه شما query می دهید به شما از رکوردهایی که cache کرده جواب بدهد). یعنی دقیقاً مثل Primary DNS Server شماست و اگر سرور DNS اصلی تان به هر دلیلی دچار مشکل شود این DNS سرور تمام رکوردها و zoneهای آن را دارد و مشکلی برای بحث Name Resolve در شبکه شما پیش نمی آید. بطور کلی دو نوع Authoritative Name Server داریم:
مدل اول که به آن Master server یا primary name server می گویند.
یک master server در واقع یک کپی original از همه zone recordها را در خود ذخیره می کند. بعد شما می توانید به عنوان hostmaster فقط رکوردهای master server خودتان را در مواقع نیاز تغییر دهید و slave serverها هم این تغییرات را توسط مکانیزم بروزرسانی اتوماتیک خاصی که توسط پروتکل DNS تعریف شده از master server دریافت می کنند. همه slave serverها یک کپی یکسان از رکوردهای master را نگهداری می کنند.
مدل دوم که به آن Slave Server یا secondary name server می گویند.
یک Slave server اما دقیقاً یک کپی از Master server است که جهت share کردن load مربوط به DNS سرور و یا وقتی که master server شما به هر دلیلی failed کند مورد استفاده قرار می گیرد که پیشنهاد شده که برای هر دامین شما حداقل 2 تا سرور slave و یه سرور master در طراحی های خود لحاظ کنید.
نویسنده: میثم ناظمی
