Un paio di domande sul traffico DNS tra TRUST e DMZ e best practice.
Ci sono dei rischi significativi nel fare affidamento sul DNS interno da un server web ospitato in una zona DMZ? Il protocollo DNS è mai stato utilizzato per sfruttare / compromettere un controller di dominio Windows (il server DNS)?
Un controllo / filtraggio del traffico NGFW può ridurre questo rischio per renderlo accettabile?
Sapendo che si tratta di un controller di dominio, verrà utilizzato solo da persone all'interno della rete interna, giusto? Potrebbe voler ricontrollare con questa domanda correlata .
Indipendentemente dal fatto che tu lo stia ospitando o meno nella DMZ, consiglio vivamente di effettuare una configurazione in cui è consentito solo il traffico che coinvolge la porta UDP 53 e che è sia in entrata che in uscita.
È possibile ottenere ciò attraverso la configurazione di NGFW, alcuni dispositivi dotati di firewall stateful o firewall basato su host all'interno del server DNS. Se si può avere 2-3 di questi risultati, va bene dato che l'approfondimento della difesa è una buona pratica. Verifica che funzioni correttamente per ogni difesa configurata per garantire la disponibilità del tuo dispositivo.
Se lo stai posizionando nella DMZ, tuttavia, è assolutamente importante avere un dispositivo firewall tra il tuo server DNS e il router per assicurarti che sia segmentato e tenuto lontano dalla tua rete interna nel caso in cui venga compromesso dall'hacker / s.
Ricorda sempre che nessuna difesa è assoluta, quindi prepara i piani / protocolli da seguire nel caso in cui un attacco hacker abbia successo e si intensifichi per impedire / re-mediare l'emergenza.
Leggi altre domande sui tag trust dns windows-server dmz