Geo*_*gas 66 domain-name-system
我们在防火墙后面有一个仅 SMTP 的邮件服务器,它将有一个公共的邮件记录。. 访问此邮件服务器的唯一方法是从同一防火墙后面的另一台服务器。我们不运行我们自己的私有 DNS 服务器。
在公共 DNS 服务器中使用私有 IP 地址作为 A 记录是个好主意 - 还是最好将这些服务器记录保存在每个服务器的本地主机文件中?
Tal*_*eff 71
有些人会说,任何公共 DNS 记录都不应该公开私有 IP 地址……他们的想法是,您正在为潜在的攻击者提供利用私有系统可能需要的一些信息。
就我个人而言,我认为混淆是一种糟糕的安全形式,尤其是当我们谈论 IP 地址时,因为通常它们无论如何都很容易猜到,所以我不认为这是一个现实的安全妥协。
这里更大的考虑是确保您的公共用户不会将此 DNS 记录作为您托管应用程序的正常公共服务的一部分。即:外部 DNS 查找以某种方式开始解析到他们无法访问的地址。
除此之外,我看不出将私有地址 A 记录放入公共空间是一个问题的根本原因……尤其是当您没有备用 DNS 服务器来托管它们时。
如果您决定将此记录放入公共 DNS 空间,您可能会考虑在同一台服务器上创建一个单独的区域来保存所有“私有”记录。这将更清楚地表明它们是私有的......但是对于只有一个 A 记录,我可能不会打扰。
wom*_*ble 40
不久前,我在 NANOG 列表上对这个主题进行了长时间的讨论。虽然我一直认为这是一个坏主意,但事实证明这在实践中并不是一个坏主意。困难主要来自 rDNS 查找(对于在外部世界中不工作的私有地址),并且当您通过 VPN 或类似方式提供对地址的访问时,确保 VPN 客户端受到适当保护很重要VPN 关闭时“泄漏”流量。
我说去吧。如果攻击者能够通过将名称解析为内部地址而获得任何有意义的信息,那么您就会遇到更大的安全问题。
一般来说,将 RFC1918 地址引入公共 DNS 会在将来的某个时候引起混乱,如果不是真正的问题的话。使用 IP、主机记录或区域的私有 DNS 视图来使用防火墙后面的 RFC1918 地址,但不要将它们包含在公共视图中。
为了根据其他提交的响应澄清我的响应,我认为将 RFC1918 地址引入公共 DNS 是一种失礼,而不是安全问题。如果有人打电话给我解决问题,而我在他们的 DNS 中偶然发现了 RFC1918 地址,我会开始慢慢地交谈并询问他们最近是否重新启动。也许那是我的势利,我不知道。但是就像我说的那样,这不是必须要做的事情,而且在某些时候可能会引起混乱和沟通不畅(人为,而不是计算机)。为什么要冒险?
| 归档时间: |
|
| 查看次数: |
90342 次 |
| 最近记录: |