Comparado con sus alternativas, DNSBOX es particularmente robusto a la hora de hacer frente a las amenazas que se ciernen sobre sus servicios de DDI. Con la mayoría de los appliances de DDI, puede conseguir que su DDI sea más seguro, fiable y robusto a fuerza de gastar dinero. Con DNSBOX también puede lograrlo, pero gastando menos. DNSBOX presenta ventajas en cuanto a seguridad y resistencia a dos niveles:
Appliances individuales | Arquitectura de servidor DDI | |
Máxima seguridad |
Sistema operativo reforzado Unbound superseguro para el caché de DNS, DNSSEC y actualizaciones de seguridad automáticas |
Fácil separación de funciones Enlaces seguros y tráfico de red a cada servidor o servicio controlado |
Máxima resistencia |
Fiabilidad intrínseca: almacenamiento de estado sólido Redundancia adicional: arquitectura de doble CFast |
Fácil redundancia de bajo coste: varias opciones para conmutación por error y clustering |
Inherentemente más seguro
La plataforma DNSBOX es especialmente segura en términos generales, aunque DNSBOX200, utilizado habitualmente para tareas más vulnerables y de cara al público, cuenta con una de las implementaciones de DNS más seguras del mundo. DNSBOX se basa en un enfoque ortodoxo de la arquitectura de DNS que cumple con RFC, por lo que resulta fácil disponer varias capas de protección para lograr la máxima seguridad:
- Arquitecturas diseñadas para maximizar la seguridad, como por ejemplo:
- Arquitectura primario-secundario con el primario oculto tras un firewall.
- Solucionadores autoritativos y recursivos aislados físicamente.
- Cada servicio se ejecuta en su propio espacio aislado: protección de chroot.
- Servidores físicos independientes asequibles para servir vistas diferentes.
- Seguridad integrada en el software básico para todos los servicios que se ejecuten en DNSBOX, como por ejemplo:
- Solucionador recursivo Unbound específico de alta seguridad: una gran ventaja en esta parte tan vulnerable del sistema DNS. Este solucionador se ha diseñado específicamente para hacer frente a las amenazas contra la caché de DNS.
- Funciones de seguridad de BIND.
- DNSSEC para proteger contra el envenenamiento de caché.
- Los appliances DNSBOX son dispositivos reforzados y con muchas características de seguridad:
- Sistema operativo Linux seguro especialmente creado, y montado en modo de solo lectura, para poder recuperarse ante cualquier situación de compromiso del sistema con un reinicio del appliance.
- Posibilidad de separar los servicios y desviar el tráfico a los appliances en direcciones IP diferentes y en varias NIC distintas para conectarse a diversas redes o usuarios.
- Firewall incorporado con administración remota permitida solo a través de cauces seguros (SSH/SSL).
- Conexiones IPsec con cifrado AES entre servidores; autenticación y cifrado de todo el tráfico entre unidades. Va más allá de DNSSEC y TSIG, y garantiza que solo los primarios autenticados pueden actualizar a los secundarios. Las transferencias de zona no se pueden piratear, falsear ni espiar.
- Las actualizaciones rutinarias de software protegen contra cualquier vulnerabilidad en cuanto a la seguridad del software incorporado, como BIND. Todo el software de DNSBOX se supervisa en busca de alertas de seguridad. Cualquier actualización que pueda ser precisa se incorpora rápidamente a DNSBOX y se pone a disposición de los clientes.
Dispositivos más fiables y arquitecturas redundantes fáciles
Con DNSBOX es posible crear arquitecturas robustas con mayor capacidad de recuperación y a un coste menor, por dos razones:
- Un appliance DNSBOX independiente es sólido como una roca:
- No tiene disco y solo utiliza almacenamiento de estado sólido, por lo que es diez veces más fiable (los discos duros son responsables del 90 % de los fallos de hardware). Si hay un corte de suministro eléctrico, no se producen pérdidas de datos ni de configuración y el reinicio es inmediato.
- El software del appliance DNSBOX está diseñado para hacer frente a eventos de red inesperados que pueden ocasionar que los servidores y los servicios fallen.
- Crear arquitecturas redundantes es más fácil y económico que con las alternativas, debido al diseño y cotización de la gama DNSBOX, que contempla varias opciones de redundancia:
- Arquitectura de doble CFast.
- Arquitectura primario-secundario fácil y asequible.
- Modo de primario desconectado.
- Primarios de conmutación por error a precios reducidos.
- Conmutación por error de DHCP fácil y fiable.
- Clústeres solucionadores con equilibrio de carga de alta disponibilidad.