Il DNS è un argomento molto ampio, anche quando lo si restringe per avere un focus sulla sicurezza, tuttavia cercherò di risolverlo in un modo che abbia più senso per te. Se stai cercando un'introduzione al DNS di alto livello, ti suggerisco questo . Per ulteriori dettagli, verificarlo .
Prima di tutto, potresti voler essere consapevole che il DNS privato rispetto al DNS pubblico può essere interpretato in modo da significare più cose. La prima cosa che ho pensato era DNS split-horizon , dove si utilizza lo stesso nome DNS per interno ed esterno , ma fornire informazioni diverse a seconda della fonte della richiesta DNS. Ci sono altre opzioni, tuttavia, come scegliere di utilizzare nomi completamente diversi internamente ed esternamente (come esempio.com pubblicamente ed esempio.locale in privato). Ho visto entrambi implementati nelle aziende, tuttavia avendo server e spazi dei nomi DNS interni ed esterni completamente separati è preferito dal punto di vista della sicurezza.
In genere vorresti mantenere i tuoi indirizzi RFC1918 solo nel tuo DNS privato, così come i tuoi indirizzi privati che sono con accesso a Internet. Questo è meno importante con IPv4, ma con IPv6, avere indirizzi IP accessibili a Internet è molto più diffuso (sebbene non sia necessario ).
Essenzialmente, si riduce al fatto che si vorrebbe un'infrastruttura DNS privata per servire i dipendenti, in modo che non avrebbero bisogno di memorizzare gli IP (o VIPs ) di ogni servizio. Non vorrai che queste voci DNS siano disponibili su Internet perché potrebbero essere utilizzate per enumerazione o scoperta (vedere sezione 2.6), tra molti altri motivi. Si dice che la sicurezza di un sistema si riduca a qualche concetti di base , e devi tenere presente che, se rilasci certe informazioni, se permette a qualcuno di compromettere la triade della CIA.
Esiste anche l'opzione di una extranet infrastruttura DNS, che sarebbe per le aziende partner o per le società che svolgi affari con su base regolare.
Infine, il DNS pubblico viene fornito di nuovo come servizio ai tuoi clienti, in modo che possano contattare qualunque cosa tu stia fornendo. Un paio di concetti di sicurezza da tenere a mente con DNS includono:
Ci sono molti, molti più tipi di attacco quando si parla di DNS, ma credo che i pochi precedenti siano un buon punto di partenza. Se sei interessato alla sicurezza DNS, ti rimando anche a questo articolo e anche DNSSEC .