Разделение горизонта DNS - Split-horizon DNS
В компьютерных сетях , сплит-горизонт DNS (также известный как сплит-просмотр DNS , DNS расщепленного мозга , или раздельный DNS ) является объектом из системы доменных имен реализации (DNS) для обеспечения различных наборов данных DNS, обычно выбирает с помощью исходный адрес DNS-запроса.
Это средство может обеспечить механизм для управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для внутреннего доступа в сети (в пределах административного домена , например, компании) и доступа из незащищенной общедоступной сети (например, Интернет ).
Внедрение DNS с разделенным горизонтом может быть выполнено с помощью аппаратного разделения или программных решений. Аппаратные реализации используют отдельные устройства DNS-серверов для желаемой степени детализации доступа в задействованных сетях. Программные решения используют либо несколько процессов DNS-серверов на одном оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью различать доступ к записям зон DNS . Последнее является общей чертой многих серверных программных реализаций протокола DNS (см. Сравнение программного обеспечения DNS-серверов ) и иногда является подразумеваемым значением термина DNS с разделенным горизонтом , поскольку все другие формы реализации могут быть достигнуты с любым DNS. серверное программное обеспечение.
Обоснование
DNS с разделенным горизонтом может обеспечить механизм для управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для внутреннего доступа (в пределах административного домена , например, компании) и доступа из незащищенной общедоступной сети (например, Интернет ).
Один из распространенных вариантов использования DNS с разделенным горизонтом - это когда сервер имеет как частный IP-адрес в локальной сети (недоступный из большей части Интернета), так и публичный адрес, то есть адрес, доступный через Интернет в целом. При использовании DNS с расщепленным горизонтом одно и то же имя может вести к частному или общедоступному IP-адресу, в зависимости от того, какой клиент отправляет запрос. Это позволяет критически важным локальным клиентским машинам получать доступ к серверу напрямую через локальную сеть без необходимости проходить через маршрутизатор. Прохождение через меньшее количество сетевых устройств увеличивает задержку в сети.
Например, DNS-сервер можно настроить для возврата двух разных наборов записей для хоста host1.example.net для запрашиваемых, внутренних и внешних по отношению к корпоративной сети. Внутренний ответ может выглядеть так:
@ IN SOA ns.example.net admin.example.net. ( 2010010101 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS ns ns IN A 203.0.113.2 host1 IN A 10.0.0.10
Хотя внешний ответ будет:
@ IN SOA ns.example.net admin.example.net. ( 2010010101 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS ns ns IN A 203.0.113.2 host1 IN A 203.0.113.10
Взаимодействие с DNSSEC
DNS с разделенным горизонтом предназначен для предоставления различных авторитетных ответов на идентичный запрос, а DNSSEC используется для обеспечения достоверности данных, возвращаемых системой доменных имен. Эти явно противоречащие друг другу цели создают возможность путаницы или ложных предупреждений безопасности в плохо построенных сетях. Исследования дали рекомендации по правильному сочетанию этих двух функций DNS.
Реализации
Внедрение DNS с разделенным горизонтом может быть выполнено с помощью аппаратного разделения или программных решений. Аппаратные реализации используют отдельные устройства DNS-серверов для желаемой степени детализации доступа в задействованных сетях. Программные решения используют либо несколько процессов DNS-серверов на одном оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью различать доступ к записям зон DNS . Последнее является общей чертой многих серверных программных реализаций протокола DNS (см. Сравнение программного обеспечения DNS-серверов ) и иногда является подразумеваемым значением термина DNS с разделенным горизонтом , поскольку все другие формы реализации могут быть достигнуты с любым DNS. серверное программное обеспечение.