DNS med delad horisont

I datornätverk är DNS med delad horisont (även känd som DNS med delad vy , DNS med delad hjärna eller delad DNS ) möjligheten för en implementering av ett Domain Name System ( DNS ) för att tillhandahålla olika uppsättningar av DNS-information, vanligtvis vald av källadress för DNS-begäran.

Denna funktion kan tillhandahålla en mekanism för säkerhets- och integritetshantering genom logisk eller fysisk separation av DNS-information för nätverksintern åtkomst (inom en administrativ domän , t.ex. företag) och åtkomst från ett osäkert, offentligt nätverk (t.ex. Internet ).

Implementering av DNS med delad horisont kan åstadkommas med hårdvarubaserad separation eller med mjukvarulösningar. Hårdvarubaserade implementeringar kör distinkta DNS-serverenheter för önskad åtkomstgranularitet inom de involverade nätverken. Programvarulösningar använder antingen flera DNS-serverprocesser på samma hårdvara eller speciell servermjukvara med den inbyggda förmågan att urskilja åtkomst till DNS-zonposter . Det senare är ett vanligt inslag i många serverprogramvaruimplementeringar av DNS-protokollet (jfr Jämförelse av DNS-serverprogramvara ) och är ibland den underförstådda innebörden av termen DNS med delad horisont , eftersom alla andra former av implementering kan uppnås med vilken DNS som helst serverprogramvara.

Logisk grund

DNS med delad horisont kan tillhandahålla en mekanism för säkerhets- och integritetshantering genom logisk eller fysisk separation av DNS-information för intern nätverksåtkomst (inom en administrativ domän , t.ex. företag) och åtkomst från ett osäkert, offentligt nätverk (t.ex. Internet ).

Ett vanligt användningsfall för DNS med delad horisont är när en server har både en privat IP-adress på ett lokalt nätverk (inte nås från större delen av Internet) och en offentlig adress, dvs en adress som kan nås över Internet i allmänhet. Genom att använda DNS med delad horisont kan samma namn leda till antingen den privata IP-adressen eller den offentliga, beroende på vilken klient som skickar frågan. Detta gör det möjligt för kritiska lokala klientmaskiner att komma åt en server direkt via det lokala nätverket, utan att behöva passera en router. Att passera genom färre nätverksenheter förbättrar nätverkets latens.

Som ett exempel kan DNS-servern konfigureras för att returnera två olika uppsättningar poster för värden host1.example.net för förfrågade internt och externt till ett företagsnätverk. Det interna svaret kan se ut så här:

@ IN SOA ns.example.net admin.example.net. (2010010101; seriell 1D; uppdatera 1H; försök igen 1W; går ut 3H); minimum @ IN NS ns ns IN A 203.0.113.2 host1 IN A 10.0.0.10

Medan det externa svaret skulle vara:

@ IN SOA ns.example.net admin.example.net. (2010010101; seriell 1D; uppdatera 1H; försök igen 1W; går ut 3H); minimum @ IN NS ns ns IN A 203.0.113.2 host1 IN A 203.0.113.10

Interaktion med DNSSEC

DNS med delad horisont är utformad för att ge olika auktoritativa svar på en identisk fråga och DNSSEC används för att säkerställa sanningshalten hos data som returneras av domännamnssystemet. Dessa uppenbarligen motstridiga mål skapar risk för förvirring eller falska säkerhetsvarningar i dåligt konstruerade nätverk. Forskning har gett rekommendationer för att korrekt kombinera dessa två DNS-funktioner.

Genomföranden

Implementering av DNS med delad horisont kan åstadkommas med hårdvarubaserad separation eller med mjukvarulösningar. Hårdvarubaserade implementeringar kör distinkta DNS-serverenheter för önskad åtkomstgranularitet inom de involverade nätverken. Programvarulösningar använder antingen flera DNS-serverprocesser på samma hårdvara eller speciell servermjukvara med den inbyggda förmågan att urskilja åtkomst till DNS-zonposter . Det senare är ett vanligt inslag i många serverprogramvaruimplementeringar av DNS-protokollet (jfr Jämförelse av DNS-serverprogramvara ) och är ibland den underförstådda innebörden av termen DNS med delad horisont , eftersom alla andra former av implementering kan uppnås med vilken DNS som helst serverprogramvara.

Se även

• Jämförelse av DNS-serverprogramvara
• Annons för rutt med delad horisont

externa länkar

• Tillhandahåller DNS-tjänst "split horizon".
• BIND 9 Konfigurera vyer för att partitionera extern och intern DNS-information
• Tillhandahåller "delad horisont" DNS-tjänst på OS X Server-system (från och med OS X Server version 10.6.2)
• Detaljerade instruktioner om DNS-vyer på Bind 9