Met Adonis wordt uw DNS en DHCP service veilig, foutloos geconfigureerd en altijd beschikbaar. De kenmerken zijn:
•
Ondersteuning van IPv4 en IPv6 DNS en DHCP.
•
Uitgebreide ondersteuning voor VoIP, inclusief definieerbare DHCP configuratieopties, ingebouwde vendor profielen, ondersteuning voor ENAM en NAPTR records, maar ook een ingebouwde TFTP server om VoIP firmware te beheren.
•
Gecertificeerde samenwerking met Microsoft Active Directory en Windows® DNS services.
•
BlueCat’s Cross Over High Availability (XHA™)en geïntegreerde ISC DHCP Failover om tot 99.999% service beschikbaarheid te leveren.
•
Een complete aanvulling van beveiligingsbepalingen, inclusief een gehard Linux besturingssysteem, ingebouwde firewall, pre- en post admission NAC, transactie handtekeningen (TSIG's) die uw DNS service tegen cachevergiftiging beschermt, zero-day spoofing, en Denial of Service (DOS) aanvallen.
De Adonis appliances zijn beschikbaar als hardware of als virtuele oplossing. Er is een Adonis appliance beschikbaar voor elke omgeving van de carrier-class 1750 tot de XMB, voor het MKB. De virtuele Adonis is gebaseerd op de hardware appliance en kan in uw bestaande virtuele infrastructuur worden uitgerold.
Adonis appliances leveren redundantie met failover, automatische updates van software, error correctie utilities, en een aantal beveiligingsbepalingen om tot 99,999% beschikbaarheid te kunnen garanderen. Met Adonis hebben kritische applicaties altijd toegang tot DNS en DHCP.
Het krijgen van high availability DNS
DNS is een schaalbare, gedistribueerde dienst, met bepalingen voor wat er fout mag gaan. Een primair - secundair severarchitectuur biedt redundantie en load balancing waarin de primaire DNS sever 'master' kopieën van de zones bewaart, terwijl één of meerdere secundaire servers de tweede of 'secundair' kopieën bewaren. Alle DNS updates worden gemaakt naar de primaire server, die dan de updates stuurt naar de secundare servers door een mechanisme bekend onder de naam 'zone transfers'. Secundaire servers beantwoorden DNS aanvragen om de primaire server van enkele of alle taken te ontlasten. Secundaire servers leveren ook continuïteit van service in het geval de primaire server uitvalt.
Het uitvallen van een primaire server in het geval van een primaire - secundaire configuratie kan nog steeds ernstige problemen veroorzaken. DNS gegevens op de secundaire server hebben een verloopdatum (expiration date), waarna het geacht wordt dat deze verouderd is. wanneer een secundaire server 'expires, komt het in een 'failure' status en stopt met het beantwoorden van vragen. Aangezien de primaire server de secundaire servers actualiseert, zullen alle secundaire servers, indien de primaire lang genoeg off line is, uiteindelijk ook uitvallen en stoppen met DNS name resolution.
Adonis levert High Availability
Voor de meeste organisaties leidt uitval van de DNS service tot verlies van produktiviteit - en misschien verlies van omzet - omdat zakelijke applicaties vertragen of stoppen allemaal met functioneren.Voorzichtige organisaties met kritische DNS applicaties vergroten de veilige werking van DNS met Adonis hoog beschikbare DNS appliances.
Adonis appliances zijn gehard en speciaal gebouwd voor het veilig en betrouwbaar leveren van DNS en DHCP diensten. Zij zijn aanzienlijk robuuster dan de standaard servers. Om de veerkracht verder te verhogen heeft Adonis BlueCat’s DNS Crossover High Availability of XHA™ meegekregen.
Adonis DNS Crossover High Availability (XHA)
In een DNS XHA configuratie zijn twee Adonis appliances in een actief-passief high available paar ingezet. U kunt DNS primaire servers, secundaire servers en zelfs caching servers in een XHA configuratie inzetten. De twee appliances delen één IP adres die DNS clients opvragen.
De appliances zijn verbonden via het netwerk om de passieve unit over de gezondheid van zijn actieve partner te informeren. Indien de actieve appliance uitvalt, wordt de controle overgheveld naar de passieve en neemt de actieve rol over. Wanneer de originele unit is hersteld, neemt het de passieve rol aan.
Veel DNS HA systemen handelen DDNS slecht af. De actieve node ontvangt updates, maar de passieve niet waardoor deze slecht is voorbereid, in het geval van een failover. XHA gebruikt een slaaf primaire als een passieve node. Updates die naar de actieve unit worden gezonden, worden automatisch naar zijn passieve partner gestuurd als normale 'incremental zone transfers'. Aangezien beide appliances gesynchroneerd worden gehouden, is faiover automatisch, zonder handmatig ingrijpen. Automatische failover verzekert gebruikers dat er geen onderbreking komt en dat de resolutievertraging constant blijft.
'Self healing' utility
Adonis DNS appliances hebben een 'self healing' utility dat er een geldige configuratie bestaat voordat een passieve Adonis appliance aan een XHA cluster deelneemt. Dit garandeert dat de passieve unit altijd met zijn actieve partner wordt gesynchroniseerd, zelfs wanneer de passieve appliance niet beschikbaar was op het moment dat de actieve unit was geconfigureerd. de utility levert ook reparatietools om verbroken HA configuraties te herstellen, om eenvoudig units in de cluster uit te wisselen, indien een vervanging vereist is.
DNS staat op plaats één van aanvallen in een bedrijfsnetwerk. Di komt omdat er vaak niet gekeken wordt of er nog beveiligingszwakheden zijn wanneer deze service wordt opgeleverd in een Windowsplatform. Adonis is een speciaal ontworpen DNS/DHCP appliance met een aanzienlijk betere systeembeveiliging. Het heeft een aantal voorzorgsmaatregelen in zich om tegen 'cache-vergiftiging', DNS 'amplification', deniaal-of-service, zero-day en andere aanvallen te beschermen.
Geharde Linux kernel
Adonis veiligheid begint bij een geharde Linux besturingssysteem kernel.
•
Alle niet noodzakelijke OS en netwerk deamons zijn verwijderd
•
Alle noodzakelijke modules zijn geconcentreerd in de kernel (om verzekeren dat 'vreemde' modules niet kunnen worden toegevoegd)
•
De firewall en IP-stack zijn gehard
•
De BIND en remote control deamons worden gestart met controle scripts i.p.v de inet deamon
Deze modificaties leveren een beter controle over welke service er draait en wanneer zij zijn gestart. Gezamelijk maken zij het platform veilig tegen aanvallen. Na meer dan 4.000 installaties is het besturingssysteem van Adonis nog nooit gekraakt.
De complete extra beveiligingen ziet u hieronder:
Geïntegreerde firewall
•
Blokkeert alle niet noodzakelijk service aanvragen, inclusief schadelijke ICMPs.
•
Alleen essentiele poorten staan aan waaronder 53 (DNS), 67 (DHCP) en poort 10042 (Client/Server controle), waardoor blootstelling aan niet-essentiële dataverkeer beperkt is.
•
Bevat aanvallers die in staat zijn om de blootgestelde services te compromiteren.
•
Verwaarloosbare invloed op de performance (~0,5%).
DHCP MAC filtering
•
Adonis onderhoudt een lijst met geauthoriseerde MAC adressen en distribueert alleen IP leases naar adressen op deze lijst.
Pre-Admission Network Access Control (NAC)
•
Belangrijke aanvulling op DHCP MAC filtering.
•
Adonis DHCP werkt samen met populaire authenticatie en directory services, zoals LDAP, RADIUS, Active Directory en Kerberos om eindgebruikers te authenticeren. Adonis geeft alleen IP adressen aan gebruikers die als goed zijn geauthoriseerd.
•
Pre-admission NAC kan worden gebruikt om toegangsrechten van gebruikers te controleren (b.v. geauthentiseerde gebruikers kunnen naar van tevoren bepaalde subnets worden verwezen).
•
Verbetert de veiligheid van het netwerk, vermindert netwerkvertraging en helpt organisaties te voldoen aan beveiligingsregels.
Ondersteuning voor Transaction Signatures (TSIGs)
•
Transaction Signatures hebben een 'gedeeld geheim' - een symetrische cryptografische sleutel - waarmee primaire en secundaire servers elkaar kunnen authentiseren.
•
Een vorm van digitale handtekening, TSIGs verzekeren de integriteit van zone transfers - ofwel de primaire server of de secundaire server kan vaststellen of transactiegegevens onderweg zijn gewijzigd.
•
TSIGs zijn een aanvulling op access cotrol lijsten om zone transfers expliciet tot geauthoriseerde secundaire servers te beperken (Alleen houders van het TSIG gedeelde geheim zijn goedgekeurde zone transfers, waardoor het voor een hacker bijzonder moeilijk wordt om de identiteit van een secundaire server aan te nemen.) Zij verzekeren dat DNS informatie welke beweert van een bepaalde server te komen, echt van die server koimt.
•
TSIGs authentiseren ook DNS clients en recursieve name servers.
Gemaskeerde BIND versienummer
•
Netwerkbeheerders kunnen de exacte response die zij terug willen wanneer een Adonis appliance naar zijn BIND versie wordt gevraagd.
•
Versluiert gevoelige versie informatie tegen potentiële aanvallers.
Certificate-based security
•
Proteus communiceert op een veilige manier middels SSL met Adonis appliances.
•
Wederzijdse, certificaat-gebaseerde authenticatie geeft Proteus de mogelijkheid om de identiteit van een Adonis appliance (en vice versa) te controleren voordat een verbinding met die appliance wordt gemaakt.
•
Cdertificaat-gebaseerde authenticatie, gebaseerd op publieke sleutel cryptografie vergroot het aantal door de beheerder geleverde wachtwoorden, die vereist zijn om op een Adonis appliance in te loggen.
•
128-bit gecodeerde communicatiesessies tussen de Proteus en Adonis appliances beschermen tegen 'package snooping'. Configuratiegegevens blijven geheim tijdens het uitrollrn.
Adonis remote management agent
•
Voorkomt buffer overflow en DDoS aanvallen, inbraken en misbruik van resources op Adonis appliances.
•
Dwingt data integrity en flow control af door het gebruik van een speciaal protocol voor servercommunicatie.
•
Beperkt het aantal inkomende verbindingen en levert een configureerbare 'timeout' voor verbindingen.
•
De Adonis remote management agent voorkomt buffer overflow aanvallen. verdere bescherming wordt door low-level buffer overflow contole geleverd door de Java Runtime Environmeent (JVR).
Jailed omgeving voor BIND
•
Adonis voert de 'name server deamon' uit binnen een 'jailed' omgeving met toegang tot slechts een beperkte systeem resources. De 'jailed' omgeving bevat alleen de gegevens die BIND gebruikt - er zijn geen executables en systeemscripts.
•
Bovendien draait BIND onder user level privileges.
•
Met deze voorzorgsmaatreglen, wordt een aanvaller die hoe dan ook in staat is om BIND te compromiteren, veiliggesteld zodat hij wordt beperkt en de server niet kan controleren of de de deamon kan gebruiken om andere systemen in het netwerk aan te vallen.
Patch management
•
Oudere versies van BIND software zijn kwetsbaar voor aanvallen die defecten in IP-gebaseerde applicaties en Internet toegang kunnen veroorzaken.
•
Software updates zijn verkrijgbaar binnen een korte tijdsperiode van uitgifte door de ISC.
•
Download kritische BIND software updates naar Proteus.
Active Directory, Microsoft’s implementatie van LDAP, levert een manier om centraal toegang tot IT resources te organiseren, beheren en te controleren. Active Directory (AD), wordt primair in Windows omgevingen gebruikt, is een database applicatie om directory services, authenticatie, DNS name resolution en andere diensten te leveren.
DNS speelt een belangrijke rol in de Windows netwerk architecture. Het levert 'name resolution services', noodzakelijk voor de 'Windows Domain locator' om met AD te verbinden.
Adonis DNS is gecertificeerd door Microsoft en werkt samen met Active Directory en Windows® DNS services. Adonis levert Dynamische DNS (DDNS) updates aan authoritative DNS records zonder handmatige ingrepen of configuratie wijzigingen. De appliance ondersteunt SRV records (per RFC 2782) en configuraties die een AD master in zich hebben.
De Adonis Management Console omvat een Active Directory integratie wizard dat u stap voor stap helpt door het proces van het integreren van Adonis met AD. De console heeft ook z.g. Configuration Migration Tools om eenvoudig bestaande DNS configuraties in Adonis te importeren.
