21 Реализация корпоративной службы dns
При традиционной схеме реализации корпоративной службы DNS вся информация о домене организации размещена на первичном сервере и доступна любому желающему (рис. 3.8.). Даже если принять какие-то меры по защите первичного сервера, есть ещё вторичный сервер (расположенный у провайдера).
Т
радиционная
реализация DNS-службы
Рис.3.8
Один из вариантов решения - двухсерверная конфигурация (рис. 3.9). Согласно этой схеме, имеются два первичных сервера: на одном из них размещается минимальная версия доменной информации и этот сервер регистрируется в глобальном пространстве имён, другой хранит полную версию и доступ к нему извне блокируется средствами межсетевого экрана. Первый обслуживает внешних клиентов, второй - внутренних.
Д
вухсерверная
конфигурация
Рис. 3.9
Недостаток такой схемы - замедление при обслуживании внутренних клиентов, не имеющих доступа в Internet (при вводе запросов, содержащих ошибки или при обращении к блокированным ресурсам).
Трёхсерверная конфигурация (рис.3.10). В этом случае первичный сервер, содержащий полную версию внутреннего пространства имён, объявлен ответственным за корневой домен и полностью изолирован от внешнего мира.
Внутренние клиенты, не нуждающиеся в доступе к глобальному пространству имён, обслуживаются этим сервером. Внутренние клиенты с доступом в Internet обслуживаются вторичным сервером с полной версией доменной информации.
Трехсерверная конфигурация
Рис. 3.10
Для трёхсерверной конфигурации (рис. 3.11):
первичный сервер с минимальной версией доменной информации следует: поместить в демилитаризованную зону, т. к. он должен иметь соединение с Internet и в то же время быть максимально изолированным от внутренней сети;
первичный сервер, содержащий полную версию внутреннего пространства имён, и объявленный ответственным за корневой домен можно разместить на любом внутреннем узле, т. к. соединения с Internet не нужно;
вторичный сервер с полной доменной информацией размещается на одном из улов внутренней сети или на межсетевом экране (доступ к нему извне должен быть блокирован).
Размещение DNS-серверов
Рис. 3.11
22 Основные термины.
Криптография — область знаний, объединяющая принципы, методы и средства преобразования сообщений с целью маскировки содержания информации, невозможности ее искажения и несанкционированного доступа к ней.
Шифрование информации — процесс преобразования открытых данных в зашифрованные с помощью Шифра.
Ключ - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования информации, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма.
Алгоритм криптографического преобразования — набор математических правил, определяющих содержание и последовательность операций, по зашифрованию и расшифрованию информации.
Дешифрование (расшифрование) информации — процесс преобразования зашифрованных данных в открытые при помощи шифра.
Любой криптографический алгоритм зависит от степени защиты ключей. При этом основной проблемой является корректное управление ключами. Данная проблема может быть решена использованием специальных криптографических протоколов.
Криптографический протокол — набор правил и процедур, определяющих использование криптоалгоритма и ключей шифрования.
Криптографически система — совокупность криптоалгоритмов, протоколов и процедур управления ключами.
На практике любой шифр, используемый в той или другой криптосистеме, поддается раскрытию с определенной трудоемкостью. В связи с этим возникает необходимость оценивания криптостойкости применяемых шифров.
Криптостойкость — характеристика шифра, определяющая его стойкость к дешифрованию.
Методы расшифрования (дешифрования) информации незаконным объектом разрабатываются на основе криптоанализа.
Криптоанализ — область знаний о раскрытии шифров (ключей) по имеющемуся зашифрованному тексту.