El DNS es un tema muy amplio, incluso cuando lo restringe para tener un enfoque de seguridad, sin embargo, intentaré abordar esto de una manera que tenga más sentido para usted. Si está buscando una introducción a DNS de muy alto nivel, sugeriría esto . Para un poco más de detalles, revisa esto .
En primer lugar, es posible que desee tener en cuenta que el DNS privado frente al DNS público puede interpretarse en el sentido de varias cosas. Lo primero en lo que pensé fue en DNS de horizonte dividido , donde utiliza el mismo nombre DNS para interna y externa , pero proporciona información diferente dependiendo de la fuente de la solicitud de DNS. Sin embargo, hay otras opciones, como elegir usar nombres completamente diferentes interna y externamente (como example.com publicly y example.local en privado). He visto ambos implementados en corporaciones, sin embargo, desde el punto de vista de seguridad, se prefiere tener servidores de DNS internos y externos completamente separados y espacios de nombres.
Por lo general, desearía mantener sus direcciones RFC1918 solo en su DNS privado, así como sus direcciones privadas, que son Acceso a internet. Esto es menos importante con IPv4, pero con IPv6, tener direcciones IP accesibles a través de Internet es mucho más generalizado (aunque no es necesario ).
Básicamente, se reduce al hecho de que desearía una infraestructura DNS privada para atender a los empleados, de modo que no necesitarían memorizar las IP (o VIPs ) de cada servicio. No querrá que estas entradas de DNS estén disponibles en Internet porque podría usarse para enumeración o descubrimiento (consulte sección 2.6), entre muchas otras razones. Se dice que la seguridad de un sistema se reduce a algunos conceptos básicos , y debe tener en cuenta que, si usted libera cierta información, si permite que alguien comprometa la tríada de la CIA.
También existe la opción de una extranet infraestructura de DNS, que sería para empresas asociadas o compañías que usted hace. negocios con una base regular.
Por último, el DNS público se proporciona como un servicio a sus clientes, de nuevo, para que puedan ponerse en contacto con lo que sea que esté proporcionando. Un par de conceptos de seguridad a tener en cuenta con DNS incluyen:
Hay muchos, muchos más tipos de ataques cuando se habla de DNS, pero creo que los pocos anteriores son un buen punto de partida. Si está interesado en la seguridad del DNS, también le indicaré este informe y también DNSSEC .