it-swarm.dev

Pro / contro dell'utilizzo di un DNS privato rispetto a un DNS pubblico

Mi chiedevo perché un'azienda dovrebbe usare un DNS privato.

Rispetto a un DNS pubblico, quali vantaggi ha uno privato e quali problemi può creare un DNS pubblico per un'azienda?

Sono nuovo in questi concetti di sicurezza delle reti, quindi forse questa è una domanda molto semplice.

18
DGomez

Il DNS è un argomento molto ampio, anche quando lo restringi per avere un focus sulla sicurezza, tuttavia cercherò di affrontarlo in un modo che avrà più senso per te. Se stai cercando un'introduzione di altissimo livello al DNS, suggerirei questo . Per un po 'più di dettaglio, controlla questo .

Prima di tutto, potresti voler essere consapevole del fatto che DNS privato e DNS pubblico possono essere interpretati per significare più cose. La prima cosa a cui ho pensato è stata split-horizon DNS , in cui si utilizza lo stesso nome DNS per interni ed esterni, ma si forniscono informazioni diverse a seconda dell'origine della richiesta DNS. Ci sono altre opzioni, tuttavia, come la scelta di utilizzare nomi completamente diversi internamente ed esternamente (come example.com pubblicamente ed example.local in privato). Ho visto entrambi implementati nelle aziende, tuttavia avere un server DNS interno ed esterno e spazi dei nomi completamente separati è preferito dal punto di vista della sicurezza.

In genere si desidera mantenere indirizzi RFC1918 solo nel proprio DNS privato, così come i propri indirizzi privati ​​accessibili da Internet. Questo è meno importante con IPv4, ma con IPv6, avere indirizzi IP accessibili da Internet è molto più diffuso (sebbene non necessario ).

In sostanza, si riduce al fatto che si vorrebbe un'infrastruttura DNS privata per servire i dipendenti, in modo che non avrebbero bisogno di memorizzare gli IP (o VIP ) di ogni servizio. Non desideri che queste voci DNS siano disponibili su Internet perché potrebbero essere utilizzate per enumerazione o scoperta (vedi sezione 2.6), tra molti altri motivi. Si dice che la sicurezza di un sistema si riduce ad alcuni concetti di base , e devi tenere presente che, se rilasci determinate informazioni, se qualcuno può compromettere la triade della CIA.

Esiste anche l'opzione di un'infrastruttura DNS extranet , che sarebbe per le società partner o le società con cui intrattieni rapporti commerciali regolari.

Infine, il DNS pubblico viene nuovamente fornito come servizio ai tuoi clienti, in modo che possano contattare qualunque cosa tu stia fornendo. Un paio di concetti di sicurezza da tenere a mente con DNS includono:

Ci sono molti, molti altri tipi di attacchi quando si discute di DNS, ma credo che i pochi precedenti siano un buon punto di partenza. Se sei interessato alla sicurezza DNS, ti suggerirei anche di questo articolo e anche DNSSEC .

8
JZeolla

Si noti che avere un server DNS pubblico non significa che conosca tutti i nomi di dominio nella rete. DNS di progettazione non significa che hai una copia autorevole di tutte le zone, ma usa un sistema di denominazione gerarchico.

I server DNS pubblici e privati ​​sono suddivisi per motivi di sicurezza e privacy. Se pubblicizzi tutti i nomi di dominio interni (utilizzati ad esempio dal tuo dominio Active Directory), puoi inavvertitamente pubblicizzare gli IP locali di questi computer. Anche se ciò non significa che host esterni possano accedere a queste macchine, perde informazioni preziose per un aggressore.

Pertanto hai la possibilità di avere un server DNS separato per i tuoi domini pubblici, questo server DNS non sa nulla del dominio interno e quindi non può pubblicizzare i nomi di dominio utilizzati internamente. Tutti possono interrogare il tuo server DNS pubblico. Assicurati che:

  • Disabilita la ricorsione sul tuo DNS pubblico in modo che risponda solo alle richieste DNS per il dominio per cui è autorevole. (impedisce l'avvelenamento da cache DNS se si configurano i firewall in modo da non consentire agli IP esterni provenienti da Internet verso la propria rete interna, che viene utilizzato durante lo spoofing)

Quindi si esegue anche un server DNS privato (che dovrebbe essere accessibile solo da IP interni e che dovrebbe rispondere solo a IP interni). Questo server DNS contiene informazioni sui tuoi domini interni. Questo può essere configurato in modo ricorsivo in modo che sia anche in grado di risolvere domini per i quali non è autorevole. Assicurarsi:

  • Non posso sottolineare quanto sia importante che risponda solo agli IP nel dominio interno, il che ridurrà ampiamente anche la possibilità di un DNS esterno di successo
  • È inoltre possibile configurare questo server DNS per utilizzare solo i suggerimenti di root e non i server di inoltro (ciò può in gran parte mitigare gli attacchi MITM).
  • Avere un nameserver di memorizzazione nella cache locale (per impedire il dirottamento di NXDOMAIN)
  • La ricorsione è consentita su un server DNS privato purché si assicuri di aver preso in considerazione il primo punto.

C'è anche l'opzione di split-horizon DNS

Nella rete di computer, DNS a orizzonte diviso, DNS a vista divisa o DNS diviso è la funzione di un'implementazione di Domain Name System (DNS) per fornire diversi set di informazioni DNS, selezionati, di solito, dall'indirizzo di origine della richiesta DNS. Questa funzione può fornire un meccanismo per la gestione della sicurezza e della privacy mediante la separazione logica o fisica delle informazioni DNS per l'accesso interno alla rete (all'interno di un dominio amministrativo, ad esempio un'azienda) e l'accesso da una rete pubblica non sicura (ad esempio Internet). L'implementazione del DNS split-horizon può essere realizzata con separazione basata su hardware o soluzioni software. Le implementazioni basate su hardware eseguono distinti dispositivi server DNS per la granularità di accesso desiderata all'interno delle reti coinvolte. Le soluzioni software utilizzano più processi server DNS sullo stesso hardware o software server speciali con la capacità integrata di discriminare l'accesso ai record di zona DNS. Quest'ultima è una caratteristica comune di molte implementazioni di software server del protocollo DNS (cfr. Confronto del software server DNS) ed è talvolta il significato implicito del termine DNS split-horizon, poiché tutte le altre forme di implementazione possono essere raggiunte con qualsiasi DNS software server.

Dovresti anche dare un'occhiata a DNSSEC

Il Domain Name System Security Extensions (DNSSEC) è una suite di specifiche IETF (Internet Engineering Task Force) per la protezione di alcuni tipi di informazioni fornite dal Domain Name System (DNS) come utilizzate nelle reti Internet Protocol (IP). È un insieme di estensioni a DNS che forniscono ai client DNS (resolver) l'autenticazione dell'origine dei dati DNS, la negazione autenticata dell'esistenza e l'integrità dei dati, ma non la disponibilità o la riservatezza.

Ti suggerisco di prendere il tuo tempo per familiarizzare con tutti questi protocolli.

4
Lucas Kauffman

Bene, se stai registrando i tuoi computer con il tuo server DNS probabilmente non vuoi che solo chiunque su Internet sia in grado di interrogare su quale indirizzo si trova il laptop del tuo CEO. Allo stesso modo non si desidera rendere pubblici i server di sviluppo, i server per servizi non annunciati ecc.

Per quanto riguarda l'interrogazione dei server DNS per indirizzi pubblici di altri siti, forse si desidera reindirizzare alcune di tali richieste del sito tramite un proxy o forse si desidera reindirizzare i propri utenti lontano da siti dannosi. Forse vuoi solo ridurre la quantità di traffico DNS in corso tra la tua rete e Internet o assicurarti che tutti i tuoi utenti utilizzino server DNS noti. Non lasciare il DNS su Internet se non dai server DNS designati significa che i computer degli utenti non eseguono query su server DNS sconosciuti e potenzialmente dirottati per ogni ricerca.

0
Rod MacPherson

Un server DNS privato presenta numerosi vantaggi per un amministratore di sistema:

  • Poiché un DNS privato è disponibile solo all'interno di una rete privata, quel server DNS può risolvere domini validi solo all'interno della rete. Ad esempio, potresti risolvere "greatplains.accounting.int" sul server ERP principale dell'azienda. Allo stesso modo, potresti dare un nome di dominio alla macchina di tutti, come brandon.smith.laptop, e far sincronizzare il server DNS con DHCP per mantenere aggiornati gli indirizzi IP (non è una grande idea se gli indirizzi IP cambiano spesso, poiché le macchine locali memorizzeranno nella cache DNS richieste e risposte che non sono più valide)
  • Allo stesso modo, il DNS può essere usato come lista nera di un uomo povero. Qualsiasi dominio a cui non desideri che le persone della tua rete navigino (siti porno, siti malware noti, altri non-lavoro) possono essere elencati nel tuo DNS privato, instradando verso una pagina interna dicendo loro "smetti di rovinare e tornare al lavoro". Ci sono strumenti migliori per questo, come gli analizzatori di traffico, e ci sono sempre modi per aggirarlo, ma funziona.
  • È inoltre possibile eseguire un livello approssimativo di bilanciamento del carico indirizzando client diversi a server DNS interni diversi che li instraderanno verso IP di endpoint di servizio diversi. Ancora una volta, sono disponibili strumenti migliori, ma funziona.
  • Un server DNS privato ti consente il controllo in tempo reale del server DNS principale autorevole della tua rete (quello che sa come risolvere qualsiasi indirizzo che il tuo server non può). Se il tuo ISP chiama e dice "il nostro DNS è stato violato, usa questo alternativo invece fino a nuovo avviso", tutto ciò che devi fare è aggiornare il tuo DNS privato per fare riferimento a quello nuovo come genitore autorevole, quindi istruire i tuoi utenti ad aprire un comando Chiedi e digita ipconfig /flushdns, anziché modificare le impostazioni DNS nel controller di dominio di rete (DHCP, Criteri di gruppo) e richiedere a tutti di riavviare il computer o riacquistare le informazioni dell'indirizzo di rete.
0
KeithS