Pro / contro dell'utilizzo di un DNS privato rispetto a un DNS pubblico

Il DNS è un argomento molto ampio, anche quando lo si restringe per avere un focus sulla sicurezza, tuttavia cercherò di risolverlo in un modo che abbia più senso per te. Se stai cercando un'introduzione al DNS di alto livello, ti suggerisco questo . Per ulteriori dettagli, verificarlo .

Prima di tutto, potresti voler essere consapevole che il DNS privato rispetto al DNS pubblico può essere interpretato in modo da significare più cose. La prima cosa che ho pensato era DNS split-horizon , dove si utilizza lo stesso nome DNS per interno ed esterno , ma fornire informazioni diverse a seconda della fonte della richiesta DNS. Ci sono altre opzioni, tuttavia, come scegliere di utilizzare nomi completamente diversi internamente ed esternamente (come esempio.com pubblicamente ed esempio.locale in privato). Ho visto entrambi implementati nelle aziende, tuttavia avendo server e spazi dei nomi DNS interni ed esterni completamente separati è preferito dal punto di vista della sicurezza.

In genere vorresti mantenere i tuoi indirizzi RFC1918 solo nel tuo DNS privato, così come i tuoi indirizzi privati che sono con accesso a Internet. Questo è meno importante con IPv4, ma con IPv6, avere indirizzi IP accessibili a Internet è molto più diffuso (sebbene non sia necessario ).

Essenzialmente, si riduce al fatto che si vorrebbe un'infrastruttura DNS privata per servire i dipendenti, in modo che non avrebbero bisogno di memorizzare gli IP (o VIPs ) di ogni servizio. Non vorrai che queste voci DNS siano disponibili su Internet perché potrebbero essere utilizzate per enumerazione o scoperta (vedere sezione 2.6), tra molti altri motivi. Si dice che la sicurezza di un sistema si riduca a qualche concetti di base , e devi tenere presente che, se rilasci certe informazioni, se permette a qualcuno di compromettere la triade della CIA.

Esiste anche l'opzione di una extranet infrastruttura DNS, che sarebbe per le aziende partner o per le società che svolgi affari con su base regolare.

Infine, il DNS pubblico viene fornito di nuovo come servizio ai tuoi clienti, in modo che possano contattare qualunque cosa tu stia fornendo. Un paio di concetti di sicurezza da tenere a mente con DNS includono:

• DNS Open Resolvers e Attacchi di amplificazione
• attacchi di avvelenamento della cache DNS
• Trasferimenti di zona dai server DNS canaglia

Ci sono molti, molti più tipi di attacco quando si parla di DNS, ma credo che i pochi precedenti siano un buon punto di partenza. Se sei interessato alla sicurezza DNS, ti rimando anche a questo articolo e anche DNSSEC .

Si noti che avere un server DNS pubblico non significa che conosce tutti i nomi di dominio nella rete. DNS per design non significa che hai una copia autorevole di tutte le zone, ma usa s un sistema di denominazione gerarchico.

I server DNS pubblici e privati sono suddivisi per motivi di sicurezza e privacy. Se si pubblicizzano tutti i nomi di dominio interni (ad esempio, utilizzati dal proprio dominio di directory attivo), è possibile pubblicizzare inavvertitamente gli IP locali di queste macchine. Anche se questo non significa che gli host esterni possano accedere a queste macchine, trapelano informazioni preziose per un utente malintenzionato.

Quindi hai la possibilità di avere un server DNS separato per i tuoi domini pubblici, questo server DNS non sa nulla del dominio interno e quindi non può pubblicizzare i nomi di dominio utilizzati internamente. Tutti possono interrogare il tuo server DNS pubblico. Assicurati che:

• Disabilita la ricorsione sul tuo DNS pubblico in modo che risponda solo alle richieste DNS per il dominio per cui è autorevole. (previene l'avvelenamento della cache DNS se si configurano i firewall per non consentire l'IP esterno proveniente da Internet verso la propria rete interna, che viene utilizzata durante lo spoofing)

Quindi esegui anche un server DNS privato (che dovrebbe essere accessibile solo da IP interni e che dovrebbe rispondere solo agli IP interni). Questo server DNS contiene informazioni sui domini interni. Questo può essere configurato in modo ricorsivo in modo che sia anche in grado di risolvere domini per i quali non è autorevole. Assicurati che

• Non posso sottolineare quanto sia importante che risponda solo agli IP del dominio interno. Questo inoltre ridurrà in gran parte la possibilità di un DNS esterno di successo
• Si configura anche questo server DNS per utilizzare solo i parametri principali e non i forwarder (questo può in gran parte attenuare gli attacchi MITM).
• Avere un server dei nomi nella cache locale (per evitare l'hijcacking di NXDOMAIN)
• La ricorsione è consentita su un server DNS privato a patto che tu abbia preso in considerazione il primo punto.

C'è anche l'opzione DNS split-horizon

In computer networking, split-horizon DNS, split-view DNS, or split DNS is the facility of a Domain Name System (DNS) implementation to provide different sets of DNS information, selected by, usually, the source address of the DNS request. This facility can provide a mechanism for security and privacy management by logical or physical separation of DNS information for network-internal access (within an administrative domain, e.g., company) and access from an unsecure, public network (e.g. the Internet). Implementation of split-horizon DNS can be accomplished with hardware-based separation or by software solutions. Hardware-based implementations run distinct DNS server devices for the desired access granularity within the networks involved. Software solutions use either multiple DNS server processes on the same hardware or special server software with the built-in capability of discriminating access to DNS zone records. The latter is a common feature of many server software implementations of the DNS protocol (cf. Comparison of DNS server software) and is sometimes the implied meaning of the term split-horizon DNS, since all other forms of implementation can be achieved with any DNS server software.

Dovresti anche dare un'occhiata a DNSSEC

The Domain Name System Security Extensions (DNSSEC) is a suite of Internet Engineering Task Force (IETF) specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on Internet Protocol (IP) networks. It is a set of extensions to DNS which provide to DNS clients (resolvers) origin authentication of DNS data, authenticated denial of existence, and data integrity, but not availability or confidentiality.

Ti suggerisco di prendere il tuo tempo per familiarizzare con tutti questi protocolli.

Bene, se stai registrando i tuoi computer con il tuo server DNS probabilmente non vuoi che chiunque su Internet sia in grado di interrogare quale indirizzo è il portatile del tuo CEO. Allo stesso modo, non si desidera rendere pubblici i server di sviluppo, i server per i servizi non annunciati ecc.

Per quanto riguarda l'interrogazione dei server DNS per gli indirizzi pubblici di altri siti, è possibile che si desideri reindirizzare alcune di quelle richieste del sito tramite un proxy o se si desidera reindirizzare gli utenti da siti dannosi. Forse vuoi solo ridurre il traffico DNS tra la tua rete e Internet, o assicurarti che tutti i tuoi utenti utilizzino server DNS conosciuti. Non lasciare che il DNS esca su Internet tranne che nei server DNS designati significa che i computer degli utenti non stanno interrogando server DNS sconosciuti e potenzialmente dirottati per ogni ricerca.

Un server DNS privato presenta diversi vantaggi per un sysadmin:

• Poiché un DNS privato è disponibile solo all'interno di una rete privata, tale server DNS può risolvere domini validi solo all'interno della rete. Ad esempio, è possibile risolvere "greatplains.accounting.int" nel server ERP principale dell'azienda. Allo stesso modo, puoi assegnare a tutti un nome di dominio, come brandon.smith.laptop, e sincronizzare il server DNS con DHCP per mantenere aggiornati gli indirizzi IP (non è una buona idea se gli indirizzi IP cambiano spesso, dato che le macchine locali nascondono il DNS richieste e risposte che non sono più valide)
• Allo stesso modo, il DNS può essere usato come lista nera di un povero. Qualsiasi dominio a cui non vuoi che le persone della tua rete sfuggano (siti pornografici, siti malware conosciuti, altri non lavorativi) può essere elencato nel tuo DNS privato, indirizzando a una pagina interna che dice loro "smetti di girare e torna al lavoro". Ci sono strumenti migliori per questo come gli analizzatori del traffico, e ci sono sempre modi per aggirarlo, ma funziona.
• Un livello approssimativo di bilanciamento del carico può anche essere eseguito indirizzando diversi client a diversi server DNS interni che li indirizzano a diversi IP dell'endpoint del servizio. Ancora una volta, sono disponibili strumenti migliori, ma questo funziona.
• Un server DNS privato consente il controllo in tempo reale del server DNS genitore autorevole della rete (colui che sa come risolvere qualsiasi indirizzo che il proprio server non può). Se il tuo ISP chiama e dice "il nostro DNS è stato violato, usa questo alternativo fino a nuovo avviso", tutto ciò che devi fare è aggiornare il tuo DNS privato per fare riferimento a quello nuovo come tuo genitore autorevole, quindi chiedere agli utenti di aprire un prompt dei comandi e digitare ipconfig /flushdns , anziché modificare le impostazioni DNS nel controller di dominio di rete (DHCP, Criteri di gruppo) e richiedere a tutti di riavviare i computer o di riacquisire in altro modo le informazioni sull'indirizzo di rete.