Basandosi sul server DNS interno (controller di dominio) su un server DMZ

0

Un paio di domande sul traffico DNS tra TRUST e DMZ e best practice.

Ci sono dei rischi significativi nel fare affidamento sul DNS interno da un server web ospitato in una zona DMZ? Il protocollo DNS è mai stato utilizzato per sfruttare / compromettere un controller di dominio Windows (il server DNS)?

Un controllo / filtraggio del traffico NGFW può ridurre questo rischio per renderlo accettabile?

    
posta Florian Bidabe 19.12.2018 - 00:51
fonte

1 risposta

0

Sapendo che si tratta di un controller di dominio, verrà utilizzato solo da persone all'interno della rete interna, giusto? Potrebbe voler ricontrollare con questa domanda correlata .

Indipendentemente dal fatto che tu lo stia ospitando o meno nella DMZ, consiglio vivamente di effettuare una configurazione in cui è consentito solo il traffico che coinvolge la porta UDP 53 e che è sia in entrata che in uscita.

È possibile ottenere ciò attraverso la configurazione di NGFW, alcuni dispositivi dotati di firewall stateful o firewall basato su host all'interno del server DNS. Se si può avere 2-3 di questi risultati, va bene dato che l'approfondimento della difesa è una buona pratica. Verifica che funzioni correttamente per ogni difesa configurata per garantire la disponibilità del tuo dispositivo.

Se lo stai posizionando nella DMZ, tuttavia, è assolutamente importante avere un dispositivo firewall tra il tuo server DNS e il router per assicurarti che sia segmentato e tenuto lontano dalla tua rete interna nel caso in cui venga compromesso dall'hacker / s.

Ricorda sempre che nessuna difesa è assoluta, quindi prepara i piani / protocolli da seguire nel caso in cui un attacco hacker abbia successo e si intensifichi per impedire / re-mediare l'emergenza.

    
risposta data 19.12.2018 - 04:27
fonte

Leggi altre domande sui tag