Назад | Перейти на главную страницу

частный IP обратный DNS на общедоступном сервере - плохая идея?

Этот вопрос отчасти относится к Другой вопрос но наоборот.

Мы используем один домен с именами хостов, которые разрешаются как общедоступные, и имена хостов, которые относятся к частным IP-адресам. Я согласен с ответом на вышеупомянутый вопрос, что я не считаю это угрозой безопасности. Особенно в отношении возможности настройки и запуска Split-Brain-DNS для этого важного домена.

Поэтому мы решили, что мы не будем размещать внутренние DNS-серверы и, следовательно, не будем иметь обратный DNS для внутренних IP-адресов. Теперь я узнал, что могу зарегистрировать домен '10 .in-addr.arpa 'у нашего DNS-провайдера. Так что теоретически я мог бы разместить там свою зону обратного DNS. Я мог бы настроить локальные кэширующие DNS-серверы на всех сайтах для поиска запросов на 10.in-addr.arpa на этом сервере и получить обратный DNS-сервер + API и интерфейс нашего DNS-провайдера.

С другой стороны, это публичный DNS-сервер. Так что все просят, например, 1.0.0.10.in-addr.arpa получит в качестве ответа наше локальное имя хоста.

Как вы думаете, это плохая идея, если не считать вышеупомянутой утечки информации, которую мы готовы принять.

Сам я бы этого не сделал.

Во-первых, вы просите своего DNS-провайдера обслуживать зону, которую вы не фактически своя. Тот факт, что вы можете это сделать, вероятно, является просто оплошностью с их стороны, и, честно говоря, я был бы немного обеспокоен тем, что либо они не будут должным образом предотвращать конфликты (то есть, если у другого из их клиентов есть такая же идея , вы можете в конечном итоге бороться за записи), или они рано или поздно обнаружат, что вы сделали, и отключат эту способность.

Во-вторых, нетрудно просканировать все общедоступные DNS-серверы, чтобы узнать, считают ли они себя полномочными для частных зон (запросы SOA для 10.in-addr.arpa, 12.172.in-addr.arpa, и т.д). Я не занимаюсь разведкой угроз, поэтому не знаю, занимается ли кто-нибудь уже этим, но я бы не удивился, если бы они были, потому что ...

Как только вы обнаружите, что данный DNS-сервер обслуживает данную обратную зону, перечислить эту обратную зону намного проще, чем перечислить прямую зону (начните с 1.0.0.10.in-addr.arpa и продвигайтесь вверх), и вы получите гораздо более полное представление о внутренней сети и ее содержимом, чем если бы пытались перечислить общие имена в прямой зоне.

Конечно, это не дыра в безопасности, через которую можно проехать на грузовике (злоумышленнику еще предстоит выяснить, как добраться до машин, чтобы поразить их), но мне кажется, что возможность перечислить, казалось бы, частную обратную зону - неудобно. близко к передаче зоны (которую DNS-серверы обычно не допускают).

Возможно, ваш провайдер DNS может создавать зоны DNS с ограниченным доступом («обслуживать эту зону только при поступлении запросов с этих IP-адресов»), что было бы эффективным компромиссом. Однако, учитывая, что запуск DNS-серверов - это не ракетостроение, лично я бы просто подбросил несколько внутри себя и покончил с этим. В любом случае вам нужно настроить внутренние преобразователи так, чтобы они указывали на настраиваемое местоположение.

Важно понимать, как публичный авторитетный DNS работает с делегированием.

Тот факт, что ваш интернет-провайдер позволяет вам создавать зону, не обязательно означает, что ваши обратные зоны - это то место, на которое указывает интернет.

Для большинства размещенных DNS-сервисов они позволяют создавать любую зону, которую вы хотите. НО это не будет достигнуто, если существует цепочка делегирования, указывающая на ваши DNS-серверы (или ваших интернет-провайдеров) в качестве основного органа власти для этих зон.

Если я сделаю 10.10.in-addr.arpa. zone в моем сервисе AWS DNS, он будет работать, если я посмотрю напрямую на этот DNS-сервер. Но актуальный авторитет за 10.10.in-addr.arpa. находится в другом месте. Поэтому, когда обычный пользователь просматривает это обратное пространство, он проходит через изменение делегирования (серверы arpa NS указывают на серверы имен in-addr.arpa, которые указывают на серверы имен 10.in-addr.arpa, которые указывают на серверы имен 10.10.in-addr.arpa.

Поэтому, если вы действительно должны быть авторитетным (как если бы вы владеете этим общедоступным IP-пространством), вам нужно будет настроить делегирование от родительских серверов до того, как ваши зоны будут использоваться.

Кроме того, да, размещать внутреннее обратное пространство во внешнем общедоступном Интернете - плохая идея, особенно если оно действительно авторитетное и должным образом делегировано. Есть несколько причин сделать это публично.

Лучше создать отдельный облачный DNS-сервер, на котором размещается это обратное пространство, которое не делегируется и ограничивает запросы только теми подсетями, которые принадлежат вам. После этого вы можете настроить пересылку на своих рекурсивных серверах, чтобы вручную указывать на этот DNS-сервер для любого обратного пространства, которое вы используете внутри.

Это не проблема.

Любой нормальный поиск 10.in-addr.arpa. будет следовать по обычной цепочке от корня до серверов имен «черной дыры» IANA. Таким образом, единственные запросы для этого имени, которые должны достичь ваши серверы, - это те, которые специально и намеренно отправляются туда. Если у кого-то из-за этого возникнет проблема, он должен винить только себя.