Korisnicima se do tada savjetuje blokiranje udaljenog upravljanja preko RPC-a (remote procedure call) kod DNS poslužitelja te blokiranje TCP/UDP 445 porta.

Uz sve gore navedeno, ako se koristiti vlastiti front-end potrebno je dodatno obaviti konfiguraciju DNS poslužitelja na front-end poslužitelju kako bi svi back-end klijenti bili dostupni putem naziva samog poslužitelja (DNS name).

pripremiti dokumentaciju za uspostavu DNS poslužitelja na novom poslužitelju (registracija i aktivacija domene) unijeti nove korisnike u sustav prilagoditi računala u lokalnoj mreži ustanove za pristup novom poslužitelju.

Ukratko, ovaj primjer procesa rezolucije od klijenta do DNS poslužitelja naziva se rekurzivni upit (engl. recursive query) i dalje puno ovisi o samoj konfiguraciji DNS poslužitelja.

Zbog velikog broja DNS upita, jedan DNS poslužitelj ne bi bio dovoljan, pa se umjesto toga koristi hijerarhija DNS poslužitelja.

Veliki broj DNS poslužitelja koristi DNS cache kako bi smanjio količinu zahtjeva prema ostatku sustava, ubrzao odgovore na upite te smanjio opterećenje na samom poslužitelju.

Prije nekoliko godina smo na Portalu za sistemce pisali o problemu bogon ACL listi (Access Control List) u konfiguraciji BIND DNS poslužitelja, koje su onemogućavale pristup nekim dijelovima weba, odnosno internet prostora.

Nadamo se da smo vam ovim člankom uštedili nešto tipkanja, te spriječili razne sitne greške unutar zonskih datoteka koje mogu spriječiti normalan rad vašeg DNS poslužitelja.

Primjer konfiguracije DNS poslužitelja na Linux okruženju:

Ipak, u slučaju da imate problema s konfiguracijom DNS poslužitelja, zakomentirajte ove linije kako biste mogli vidjeti sve poruke koje će vam možda pomoći u rješavanju problema.

Otvoreni rekurzivni DNS poslužitelj omogućava da bilo koje računalo u svijetu može relativno lako onemogućiti normalan rad DNS poslužitelja, čime ometa normalni rad svih računala koje ovise o tom DNS poslužitelju.

U svrhu istraživanja analizirano je 200 milijuna DNS poslužitelja i 150 milijuna različitih web sjedišta.

Ova se poruka pojavljuje zbog loše podešenosti drugih DNS poslužitelja, ne vašeg, stoga je razumljiva ideja da se te poruke ne bilježe u vašem syslogu.

No, ovdje se nećemo baviti sa problemima u radu DNS poslužitelja, nego ćemo opisati postupak koji možda nećete tako skoro provesti, ali ukoliko se ne pripremite - garantiramo glavobolju.

Ne, ne šalimo se, obično je TTL vrijednost namještena na 24 sata, a njena funkcija je određivanje koliko će se podaci o vašoj zoni zadržati u cacheu klijentskih resolvera (resolver je klijentski dio DNS-a, i služi za dobivanje informacija od DNS poslužitelja).

Detaljnije, pojavilo se pitanje kako znati da je DNS odgovor koji klijen primi uistinu došao od autoritativnog DNS poslužitelja za traženu zonu.

U zonskim datotekama vaših DNS poslužitelja se nalazi serijski broj, kojeg obično povećamo kada dodajemo nove hostove ili jednostavno mijenjamo podatke u nasim zonama.

pristup CARNet djelatnicima do postojećeg poslužitelja s administratorskim (root) ovlastima kako bi se mogao pripremiti i obaviti prijenos podataka na novi poslužitelj pripremiti dokumentaciju za izmjenu DNS poslužitelja u CARNetu u suradnji s CARNetom dogovoriti točno vrijeme prijelaza na novi sustav, kada će nastupiti kratak prekid u radu sustava napraviti sve potrebne izmjene na računalima u lokalnoj mreži kako bi mogli pristupati novom poslužitelju.

BIND - ovi sigurnosni propusti su posebice opasni, jer pretvaranje naziva putem DNS-a (Domain Name System odnosno Domain Name Service) onako kako je to utvrđeno s RFC 1035 je praktično nužno potreban za funkcioniranje Interneta a veliki broj DNS - poslužitelja se i koristi slobodnom implementacijom BIND-a.

Ovdje svakako moramo podsjetiti CARNet sistem-inženjere kako u svoje svrhe mogu rabiti dva pouzdana CARNetova DNS poslužitelja - recursora: 161.53.123.3 i 161.53.160.3

Riječ je o skupini alata za provjeru performansi DNS poslužitelja.

Verzija koju je predočio Senat ima odredbe o blokiranju DNS-poslužitelja kako bi se spriječio pristup prekomorskim internetskim stranicama, a prijedlozi sadrže i odredbe koje bi stavile izvan zakona da Google postavi poveznicu do, na primjer, Pirate Baya.

Adrese zlonamjernih DNS poslužitelja se mogu provjeriti na stranicama FBI-a nakon što se provjeri koje DNS poslužitelje računalo koristi.

DNSSEC ih nastoji ukloniti omogućavanjem provjere autentičnosti i integriteta odgovora koji dolazi od DNS poslužitelja.

Studija koju je provela jedna sigurnosna firma pokazuje da veliki broj komercijalnih i vladinih tvrtki ima barem jedno računalo ili usmjerivač zaražen ovim malverom te bi gašenje zamjenskih DNS poslužitelja moglo utjecati na njihovo poslovanje.

U slučaju promjene podatka o domeni, odgovori DNS poslužitelja na upite o toj domeni će biti netočni onoliko vremena koliko je zapisano u TTL-u jer svi sustavi koji pohranjuju podatke o toj domeni iste čuvati onoliko vremena koliko je definirano TTL-om.

Korištenje DNS cachea je uobičajeno i na lokalnim računalima koja komuniciraju putem Interneta i to iz istih razloga kao i kod DNS poslužitelja.

Ukoliko se DNS za novu domenu nalazi negdje dalje, treba s administratorom tog DNS poslužitelja dogovoriti da doda MX zapis koji će pokazivati na vaš poslužitelj.

Nakon što se korisnik uspješno autenticira, korisnička računala rabe protokol DHCP kojim s poslužitelja DHCP automatski dohvaćaju IP adresu i ostale parametre kao što su IP adrese pristupnika i DNS poslužitelja.

Kako smo već pisali, inačica BIND DNS poslužitelja donosi neke novosti.