Рекомендация. Настройте все зоны DNS на перенос зон исключительно на указанные IP-адреса
Если перенос зоны настроен так, что позволяет переносить зоны на любой сервер, ваши данные зоны службы доменных имен (DNS) могут быть переданы на мошеннический DNS-сервер. Эти раскрытые данные зоны DNS могут сделать вашу сеть более уязвимой для атак, потому что эти данные зоны DNS могут помочь злоумышленникам получить более полное представление о вашей сети с точки зрения доменных имен, имен компьютеров и IP-адресов ваших конфиденциальных сетевых ресурсов.
Посмотрите, как инженер по работе с клиентами объясняет проблему
Контекст и рекомендации
Процесс репликации файла зоны на несколько DNS-серверов называется переносом зоны. Перенос зоны достигается путем копирования файла зоны с одного DNS-сервера на другой. Источником информации о зоне в ходе такого переноса является основной DNS-сервер. Главный DNS-сервер может быть основным или дополнительным. Если главный DNS-сервер является основным, перенос зоны происходит непосредственно с DNS-сервера, где размещена основная зона. Если главный сервер является дополнительным, то файл зоны, полученный с основного DNS-сервера с помощью переноса зоны, является копией файла дополнительной зоны, доступного только для чтения.
Система доменных имен (DNS) изначально была разработана как открытый протокол и поэтому уязвима для злоумышленников. По умолчанию служба DNS-сервера позволяет переносить информацию о зоне только на серверы, перечисленные в записях ресурсов сервера имен (NS) зоны. Это безопасная конфигурация, но для повышения безопасности эта настройка должна быть изменена на вариант, позволяющий осуществлять перенос зон на указанные IP-адреса. Если вы измените эту настройку, позволив перенос зон на любой сервер, это может раскрыть ваши данные DNS злоумышленнику, пытающемуся получить отпечаток сети.
Получение отпечатка (футпринтинг) — это процесс получения злоумышленником данных зоны DNS, дающий ему доступ к доменным именам, именам компьютеров и IP-адресам конфиденциальных сетевых ресурсов. Злоумышленник обычно начинает атаку, используя эти данные DNS для создания диаграммы, или отпечатка, сети. Имена доменов и компьютеров DNS обычно указывают функцию или местоположение домена или компьютера, чтобы пользователям было проще запомнить и идентифицировать домены и компьютеры. Злоумышленник использует тот же принцип DNS, чтобы узнать функцию или расположение доменов и компьютеров в сети.
Изучите следующие рекомендации по конфигурации переноса зон с точки зрения безопасности:
- Низкий уровень безопасности. Все зоны DNS разрешают перенос зоны на любой сервер.
- Средний уровень безопасности. Все зоны DNS ограничивают перенос зоны на серверы, перечисленные в записях ресурсов сервера имен (NS) в своих зонах.
- Высокий уровень безопасности. Все зоны DNS ограничивают перенос зоны на указанные IP-адреса.
Рекомендуемые действия
Чтобы настроить зону DNS на безопасный перенос зон, измените настройку переноса зон на вариант, позволяющий переносить зоны только на конкретные IP-адреса. Для этого выполните следующие действия:
- В диспетчере DNS щелкните правой кнопкой мыши имя зоны DNS и выберите Свойства.
- На вкладке «Перенос зоны» нажмите Разрешить перенос зоны.
- Выберите Только на серверы из этого списка.
- Нажмите Изменить, а затем в списке IP-адресов дополнительных серверов введите IP-адреса серверов, которые хотите указать.
- После ввода всех необходимых IP-адресов нажмите OK.
С тем же результатом также можно использовать инструмент командной строки �dnscmd�.
- Откройте командную строку с повышенными привилегиями.
- Введите в командной строке приведенную ниже команду и нажмите клавишу ВВОД:
dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2
Подробнее
Для получения дополнительной информации о том, как работает перенос зон, см. https://technet.microsoft.com/library/cc781340(WS.10).aspx.
Для получения дополнительной информации о том, как настроить перенос зоны, см. https://technet.microsoft.com/library/cc771652.aspx.
Обратная связь
Были ли сведения на этой странице полезными?
Изменение DNS серверов домена, зарегистрированного у иностранного регистратора
Для того чтобы сменить DNS сервера по домену вам следует обратиться к текущему хостинг-провайдеру или компанию, через которую регистрировался данный домен.
Для делегирования домена на серверы masterhost укажите следующий список DNS:
- ns1.masterhost.ru
- ns2.masterhost.ru
- ns.masterhost.ru
Если вы желаете в дальнейшем осуществлять продление доменного имени через нашу компанию, то вам необходимо перевести домен под наш партнерский договор с регистратором — осуществить transfer для домена. Эта услуга платная стоимость вы можете уточнить у менеджеров компании. При успешном трансфере доменное имя продляется на следующий год.
Процедура трансфера выглядит следующим образом:
- masterhost формирует запрос на перенос домена от текущего Регистратора под свой партнерский договор.
- Tucows/RU-Center (в зависимости от зоны домена) направляет электронное сообщение на административный контакт (admin-c), указанный в текущей whois-информации по домену. В своем письме Tucows/RU-Center просит осуществить некие действия в подтверждение желания Владельца домена перенести домен в Tucows/RU-Center.
- Владелец домена должен дать согласие на перенос домена в течение 5ти дней. В случае, если в течение 5 дней Владелец домена не подтвердил трансфер, запрос на перенос домена удаляется (домен не переносится).
- Получив от Владельца согласие на перенос домена, Tucows/RU-Center сразу же направляет запрос к текущему Регистратору.
- Текущий Регистратор, при получении запроса на перенос домена в Tucows/RU-Center, руководствуется собственными правилами по передаче домена. В частности, он может сделать дополнительные запросы по административному (admin-c) контакту. На это выделяется пять дней.
- Текущий Регистратор может отказать в переносе домена, и трансфер для домена будет удален.
- Если текущий Регистратор прислал согласие, то домен переносится в Tucows/RU-Center.
- Если текущий Регистратор не ответил на запрос в течение 5 дней, то домен переносится в Tucows/RU-Center.
- После успешной смены Регистратора на административный (admin-c) контакт будет направлено соответствующее уведомление.
- В случае, если по каким-либо причинам перенести домен не удалось, средства возвращаются на ваш Лицевой счет в течение 3 дней с момента удаления трансфера.
Трансфер для домена может занимать от 5 до 10 календарных дней.
Текущий Регистратор может отказать в переносе (трансфере) в следующих случаях:
- если домен не делегирован (домен в статусе HOLD);
- если домен заблокирован Владельцем домена (находится в статусе LOCK);
- если с момента регистрации домена не прошло 60 дней;
- администратор домена не подтвердил трансфера.
В случае, если вы согласны на трансфер домена, просим вас оформить заявку на Трансфер домена из личного кабинета, раздел Заявки и распоряжения.
Перенос сайта на другой сервер: как прописать DNS домена
В этой статье расскажем, как перенаправить домен на другой сервер незаметно для всех пользователей сайта и без последствий для корпоративной почты.
- Что нужно знать, чтобы перенаправить домен на новый сервер
- Где находится DNS домена
- Как настроить DNS
- Если домен делегирован на Яндекс.Коннект
- Если домен делегирован на хостинг
- Перенос сайта на другой сервер того же хостера
- Перенос сайта на другой хостинг
- Шаг 1: Перенос DNS на другой сервер
- Шаг 2: Проверка MX-записей домена
- Шаг 3: Настройка NS-записей
Перенос сайта на новый сервер кроет в себе немало рисков, в частности на последних шагах, когда новая площадка уже настроена и осталось только перенаправить на нее домен — из-за неправильных действий может временно перестать работать не только сайт, но и вся корпоративная почта на домене. Представьте, насколько критична для бизнеса остановка притока новых обращений и работы уже с действующими клиентами! В этой статье расскажем, как перенаправить домен на другой сервер незаметно для всех пользователей сайта и без последствий для корпоративной почты. Если вы еще ни разу этого не делали, то из статьи узнаете, как должна происходить смена DNS, какие подводные камни бывают, и как при этом избежать неприятностей и не нанести владельцу сайта материальный ущерб.
Что нужно знать, чтобы перенаправить домен на новый сервер
Для начала разберемся, как в интернете устроена работа сайтов. Если говорить совсем просто, сайт — это набор файлов и папок, который лежит на отдельном компьютере определенной мощности — сервере, а сама услуга предоставления такого компьютера для размещения сайта в интернете называется хостинг. У каждого сайта есть доменное имя (Domain), которое отображается в строке браузера, например, liderpoiska.ru, и IP-адрес — уникальный сетевой адрес сервера, например, 37.139.7.16. Они связаны между собой посредством DNS (Domain Name System) — эта система доменных имен, как секретный агент, по имени домена вычисляет, по какому IP-адресу проживает конкретный сайт.
Схема работы DNS-сервера
Смена хостинга или сервера хостера влечет за собой смену IP-адреса сайта, поэтому важно правильно прописать ресурсные записи домена, чтобы он ссылался на корректный IP-адрес. В противном случае, люди не смогут найти этот сайт в сети, при переходе на сайт человек увидит вот такой алерт:
- Доступ к панели управления доменом (в личный кабинет регистратора домена). Им может выступать nic.ru, reg.ru, webnames.ru и т.д.
- Новый IP-адрес размещения сайта.
- Провайдера DNS, который позволит отредактировать DNS-записи домена. Если вы пока не понимаете, о чем тут речь, то следующая глава поможет вам разобраться.
- Есть ли корпоративная почта на домене. Например, для сайта liderpoiska.ru корпоративная почта выглядит, как info@liderpoiska.ru. Если такая почта есть, то нужно также узнать сервер, принимающий почту для вашего домена — это может быть Яндекс, Google, хостер или сторонний почтовый сервер.
Где находится DNS домена
Для начала разберемся, как узнать DNS-провайдера, чтобы понять, где хранится DNS. Для этого достаточно вбить домен сайта в сервис Whois и посмотреть значение в строках nserver:
Наиболее часто встречаются значения:
- dns1.yandex.net, dns2.yandex.net — домен делегирован на Яндекс.Коннект.
- в записях просматривается название хостера, например ns3.nic.ru, ns1.firstvds.ru, ns1.beget.com, ns1.reg.ru и другие — провайдером DNS является соответствующий хостер и/или регистратор домена: nic.ru, firstvds.ru, beget.com, reg.ru.
- в строке читается комбинация символов AWSDNS — провайдер Amazon.
Встречаются и другие значения, но в любом случае можно скопировать строку nserver и загуглить ее, чтобы выйти на провайдера DNS.
Как настроить DNS
Мы выяснили, где меняются ресурсные записи. Следующим шагом нужно войти в личный кабинет провайдера, чтобы изменить DNS. Дальнейшие действия зависят от провайдера, рассмотрим 2 самых распространенных варианта.
Как перенести ДНС зоны с одного сервера Bind на другой?
Добрый день. У меня есть текущий ДНС сервер для внешних доменов на Бинде. По некоторым причинам переезжаем на другого провайдера VPS. Там уже подготовили новый сервер, возникает вопрос: как перенести все ДНС зоны с текущего сервера Бинд на новый? Там около 2000 доменов, так что вручную переносить не вариант. Я знаю, как сделать это на винде, но понятия не имею как это сделать в Бинде. Спасибо.
- Вопрос задан более трёх лет назад
- 1323 просмотра
Комментировать
Решения вопроса 2
aleksandr @sanchomaster
deployment engineer
1. Установить bind на новый сервер.
2. Синхронизировать конфиги и файлы зон rsync -om.
3. Проверить работу нового bind-a
4. Поменять на новом dns сервере ip ns сервера на новый.
5. Поменять на старом dns сервере ip ns сервера на новый.
6. Проверить, через сайт https://www.whatsmydns.net/ отдается ли новый верный ip для ns сервера, если да, то можно гасить старый bind.Ответ написан более трёх лет назад
Нравится 3 1 комментарий