Rischio di sicurezza con l'utilizzo dell'IP interno sul DNS pubblico

5

Un server Web all'interno della rete dell'ufficio a cui lo staff ha accesso internamente e il DNS interno risolve web.company.com sull'IP LAN del server.

pubblicamente, i server dei nomi company.com appartengono alla società di hosting dei party in cui è ospitato il sito Web principale della società e non ha record web.company.com.

Ora se anche il web.company.com dovrebbe essere accessibile dall'esterno, va bene esporre il nostro IP LAN nel record A in modo che solo il personale con VPN possa accedere; o dovrebbe web.company.com risolvere l'indirizzo esterno della rete dell'ufficio e utilizzare il firewall per instradare all'IP LAN?

    
posta Jake 21.01.2015 - 10:27
fonte

3 risposte

2

Includere gli IP privati nelle voci DNS pubbliche non è l'ideale, perché fornisce un attacco con:

  • Un'indicazione di cosa sono le sottoreti interne;
  • Indirizzi IP effettivi per specifiche risorse interne.

Né è probabile che si traduca in un compromesso diretto, ma può essere d'aiuto con un attacco o può facilitare un ulteriore compromesso.

Generalmente si dovrebbero evitare le perdite di informazioni sulla rete interna e le risorse ospitate su di esso.

Dalla tua domanda sembra che le risorse interne siano destinate esclusivamente agli utenti VPN, quindi potrebbe essere più appropriato disporre di un DNS interno a cui gli utenti VPN possono accedere evitando qualsiasi problema con l'inclusione di informazioni "sensibili" nei record DNS pubblici.

    
risposta data 21.01.2015 - 14:25
fonte
6

C'è un altro rischio usando gli indirizzi IP privati / LAN per i record DNS pubblici.

Supponiamo di avere un utente laptop nella tua LAN, che usa web.company.com (che risolve ad esempio 192.168.178.10 ).

Se questo utente connette il suo laptop a un'altra rete (wifi!) e prova a utilizzare web.company.com , verrà risolto in 192.168.178.1 utilizzando la voce DNS pubblica. Potrebbe essere possibile che l'indirizzo IP 192.168.178.10 corrisponda a una macchina su questa rete esterna. Il laptop invierà quindi informazioni a questa macchina, che potrebbe includere anche credenziali di testo in chiaro, cookie o altri dati.

Potrebbe anche essere possibile impostare una sorta di honeypot usando una conoscenza dettagliata della LAN.

    
risposta data 19.06.2016 - 00:45
fonte
0

La tua descrizione dell'architettura e dell'architettura proposta è un po 'confusa. Se pubblichi il DNS di un indirizzo IP interno sul tuo DNS pubblico, solo le persone sulla tua rete o sul tuo VPN potranno raggiungerlo. Una parte esterna sarà in grado di cercare web.company.com e tornare 172.168.1.10 ma la rete su cui si trovano non sarà in grado di indirizzare il traffico verso quel server. Il traffico potrebbe arrivare a 172.168.1.10 ma non sarà il server giusto. La rete su cui si trovano potrebbe avere un server che utilizza lo stesso indirizzo IP.

Potrebbe essere meglio utilizzare un IP reale per il server interno e fare in modo che il router indirizzi il traffico al server interno (con le restrizioni di accesso appropriate). Parla con il tuo team di rete.

In termini di sicurezza non è bello esporre esternamente gli IP interni, ma non è orribile. Potrebbe aiutare qualcuno che sta cercando di attaccare le risorse interne dall'esterno sfruttando un servizio di frontiera vulnerabile. Va bene per una normale rete commerciale, non va bene per proteggere il mio pacemaker o i codici di avvio.

    
risposta data 21.01.2015 - 17:45
fonte

Leggi altre domande sui tag