名稱解析是網(wǎng)絡(luò)部署的重要組成部分。名稱解析管理是網(wǎng)絡(luò)管理員最重要的職責(zé)之一。DNS服務(wù)器的定期審計(jì)——通常通過DNS服務(wù)器實(shí)現(xiàn)——有助于最大限度地發(fā)揮其功能。

名稱解析將資源記錄中容易記住的名稱與難以記住的IP地址相關(guān)聯(lián)。許多標(biāo)準(zhǔn)功能都依賴于這項(xiàng)服務(wù)，但現(xiàn)代DNS服務(wù)器可以做得更多。它們涉及服務(wù)、電子郵件信息等等。對(duì)于網(wǎng)絡(luò)管理員來說，優(yōu)化DNS的性能、安全性和功能至關(guān)重要。

網(wǎng)絡(luò)管理員應(yīng)該定期檢查他們的DNS服務(wù)，但在任何重大網(wǎng)絡(luò)變更后，他們還應(yīng)該執(zhí)行額外的審核。網(wǎng)絡(luò)管理員將受益于知道何時(shí)進(jìn)行DNS審計(jì)和審查什么。

何時(shí)審核DNS服務(wù)

網(wǎng)絡(luò)管理員審核其DNS設(shè)置的頻率取決于其組織的具體情況。然而，作為一個(gè)一般準(zhǔn)則，最好的做法是計(jì)劃每季度的DNS審計(jì)。對(duì)于網(wǎng)絡(luò)管理員來說，安排好審查時(shí)間至關(guān)重要。DNS是大多數(shù)網(wǎng)絡(luò)環(huán)境中的一項(xiàng)基本服務(wù)，需要定期關(guān)注。

季度審核是一個(gè)良好的開端，但各種因素或事件應(yīng)促進(jìn)更頻繁的域名解析審核。這些考慮因素包括以下幾點(diǎn):

• 主要網(wǎng)絡(luò)變化。網(wǎng)絡(luò)更新，如擴(kuò)展和整合、云遷移或新服務(wù)的部署。
• 安全事故。安全事件與名稱解析或網(wǎng)絡(luò)的其他方面相關(guān)。
• 可用性事件。諸如WAN或LAN連接問題、服務(wù)器停機(jī)或辦公室間路由等問題。
• 業(yè)務(wù)結(jié)構(gòu)變化。組織變革，如公司更名、更名或收購。

發(fā)生上述任何情況后，網(wǎng)絡(luò)管理員可能需要考慮實(shí)施DNS核對(duì)表。完整的文檔有助于DNS審核過程。確認(rèn)一切，從管理訪問到網(wǎng)絡(luò)性能，再到日志和警報(bào)。這確保名稱解析可用于客戶端設(shè)備和網(wǎng)絡(luò)服務(wù)。

網(wǎng)絡(luò)管理員也應(yīng)該定期檢查日志文件。DNS日志記錄還可能促使對(duì)某些事件進(jìn)行進(jìn)一步調(diào)查，或者證明完整的DNS審查是合理的。自動(dòng)化監(jiān)控和日志記錄工具可以提供事件警報(bào)。

如何審核DNS服務(wù)

具體設(shè)置因網(wǎng)絡(luò)托管的DNS是Windows、Linux還是兩者的混合而異。無論如何，使用的主要工具是管理控制臺(tái)、命令行命令和日志文件分析實(shí)用程序，如事件查看器和rsyslog.

當(dāng)網(wǎng)絡(luò)管理員仔細(xì)檢查他們的DNS設(shè)置時(shí)，他們可能希望將服務(wù)分成不同的方面，例如管理訪問、客戶端設(shè)置和安全性。

1.查看名稱解析服務(wù)軟件

DNS審核的第一步是審查域名解析服務(wù)軟件。首先，網(wǎng)絡(luò)管理員應(yīng)該確認(rèn)服務(wù)從服務(wù)器啟動(dòng)，并且運(yùn)行正常。他們還應(yīng)該檢查他們的組織使用哪個(gè)版本的DNS服務(wù)軟件。組織應(yīng)該有最低版本標(biāo)準(zhǔn)。

管理員還應(yīng)該檢查特定于服務(wù)器的日志文件。他們應(yīng)該仔細(xì)配置日志服務(wù)監(jiān)控和警報(bào)功能以獲得準(zhǔn)確和最新的服務(wù)狀態(tài)。

2.檢查維護(hù)資源記錄

當(dāng)網(wǎng)絡(luò)管理員執(zhí)行審核時(shí)，他們應(yīng)該檢查幾個(gè)不同的維護(hù)記錄以確保準(zhǔn)確性。這些記錄包括客戶端資源記錄(尤其是任何靜態(tài)記錄)和DNS服務(wù)記錄，如授權(quán)和名稱服務(wù)器記錄的開始。查找并刪除任何工件，例如網(wǎng)絡(luò)上不再存在的設(shè)備的不需要的靜態(tài)記錄。

3.確認(rèn)誰擁有適當(dāng)?shù)墓芾頇?quán)限

了解哪些用戶擁有網(wǎng)絡(luò)的管理權(quán)限對(duì)于網(wǎng)絡(luò)安全至關(guān)重要。網(wǎng)絡(luò)管理員應(yīng)該檢查可以登錄到DNS服務(wù)器的用戶帳戶的訪問控制。只有經(jīng)過授權(quán)的管理員才能訪問DNS管理控制臺(tái)。

除了個(gè)人帳戶，網(wǎng)絡(luò)管理員還應(yīng)該檢查DNS特權(quán)的組成員資格，并考慮限制管理組成員資格。例如，Windows系統(tǒng)允許幾個(gè)管理組訪問DNS，包括:

• 本地管理員。
• 域管理員。
• 企業(yè)管理員。
• DNS管理員。

網(wǎng)絡(luò)管理員可能會(huì)考慮將訪問權(quán)限僅限于必要的用戶。

4.檢查客戶端設(shè)置和網(wǎng)絡(luò)性能

動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)租用IP地址并將其分配給客戶端設(shè)備。作為IP配置的一部分，客戶端設(shè)備應(yīng)該接收至少兩臺(tái)DNS服務(wù)器。網(wǎng)絡(luò)管理員應(yīng)檢查DHCP設(shè)置以確認(rèn)這是真的，并確保DHCP將這些客戶端設(shè)備定向到附近的DNS服務(wù)器以保持性能。

管理員還應(yīng)確認(rèn)防火墻設(shè)置適用于客戶端名稱解析和服務(wù)器間DNS區(qū)域傳輸，包括防火墻端口53/TCP和53/UDP.

5.檢查DNS連接的網(wǎng)絡(luò)功能

在以微軟為中心的環(huán)境中，DNS通常集成到Active Directory中。這意味著AD復(fù)制引擎可以復(fù)制DNS信息并將其存儲(chǔ)在AD域控制器上。這兩種服務(wù)緊密交織在一起，因此網(wǎng)絡(luò)管理人員在審核和DNS故障排除在這種環(huán)境下。

網(wǎng)絡(luò)管理員還應(yīng)該檢查日志文件和管理控制臺(tái)，以確保DNS區(qū)域傳輸和AD復(fù)制正常工作。此外，他們應(yīng)該檢查AD站點(diǎn)，以確?？蛻舳嗽O(shè)備找到最近的域控制器或DNS服務(wù)器。

最后，管理員必須檢查網(wǎng)絡(luò)性能，以確保DNS運(yùn)行良好。網(wǎng)絡(luò)團(tuán)隊(duì)?wèi)?yīng)該檢查流量、防火墻過濾和路由信息。DNS是一項(xiàng)使用率很高的服務(wù)，因此最佳實(shí)踐對(duì)于優(yōu)化網(wǎng)絡(luò)流量至關(guān)重要。

6.確認(rèn)高級(jí)設(shè)置是正確的

最后，網(wǎng)絡(luò)管理員應(yīng)該確認(rèn)他們的高級(jí)設(shè)置是正確的，并且針對(duì)DNS進(jìn)行了優(yōu)化。查看與相關(guān)聯(lián)的證書和證書頒發(fā)機(jī)構(gòu)很重要DNS安全配置。過期、即將過期或配置錯(cuò)誤的證書會(huì)導(dǎo)致名稱解析停止。管理員應(yīng)該根據(jù)需要更新這些文件以防止出現(xiàn)問題。

此外，網(wǎng)絡(luò)管理員應(yīng)該檢查HTTPS DNS或傳輸層安全DNS的配置(如果它們正在網(wǎng)絡(luò)上使用)。這兩種服務(wù)都保護(hù)域名解析隱私和操作。錯(cuò)誤的配置可能會(huì)阻止服務(wù)按預(yù)期工作，因此確認(rèn)它們的配置是否正確非常重要。

使用網(wǎng)絡(luò)工具進(jìn)行審計(jì)

網(wǎng)絡(luò)管理員可能會(huì)考慮使用各種工具來檢查DNS設(shè)置。Nmap等應(yīng)用程序可能會(huì)暴露服務(wù)配置錯(cuò)誤，防火墻端口設(shè)置和網(wǎng)絡(luò)上的流氓設(shè)備。Wireshark等工具捕獲網(wǎng)絡(luò)流量，這對(duì)于查看DNS復(fù)制信息或客戶端-服務(wù)器DNS通信非常有用。其他網(wǎng)絡(luò)性能工具，如Linux的iPerf3，也很有幫助。

DNS審計(jì)的好處

審計(jì)是耗時(shí)的，但是它們也可以給組織帶來極大的好處。DNS審核有助于維護(hù)一個(gè)可靠且高性能的服務(wù)層，使客戶端系統(tǒng)能夠快速找到資源。DNS審計(jì)的好處包括:

• 錯(cuò)誤配置識(shí)別。
• 漏洞識(shí)別。
• 版本控制保證。
• 合規(guī)審查。
• 保證服務(wù)性能。
• 管理訪問控制。

DNS審計(jì)也是檢查組織尚未實(shí)現(xiàn)的新服務(wù)功能的好時(shí)機(jī)。網(wǎng)絡(luò)管理員可以使用審核流程開始規(guī)劃如何更新DNS的功能。