Ventajas / inconvenientes de usar un DNS privado frente a un DNS público

El DNS es un tema muy amplio, incluso cuando lo restringe para tener un enfoque de seguridad, sin embargo, intentaré abordar esto de una manera que tenga más sentido para usted. Si está buscando una introducción a DNS de muy alto nivel, sugeriría esto . Para un poco más de detalles, revisa esto .

En primer lugar, es posible que desee tener en cuenta que el DNS privado frente al DNS público puede interpretarse en el sentido de varias cosas. Lo primero en lo que pensé fue en DNS de horizonte dividido , donde utiliza el mismo nombre DNS para interna y externa , pero proporciona información diferente dependiendo de la fuente de la solicitud de DNS. Sin embargo, hay otras opciones, como elegir usar nombres completamente diferentes interna y externamente (como example.com publicly y example.local en privado). He visto ambos implementados en corporaciones, sin embargo, desde el punto de vista de seguridad, se prefiere tener servidores de DNS internos y externos completamente separados y espacios de nombres.

Por lo general, desearía mantener sus direcciones RFC1918 solo en su DNS privado, así como sus direcciones privadas, que son Acceso a internet. Esto es menos importante con IPv4, pero con IPv6, tener direcciones IP accesibles a través de Internet es mucho más generalizado (aunque no es necesario ).

Básicamente, se reduce al hecho de que desearía una infraestructura DNS privada para atender a los empleados, de modo que no necesitarían memorizar las IP (o VIPs ) de cada servicio. No querrá que estas entradas de DNS estén disponibles en Internet porque podría usarse para enumeración o descubrimiento (consulte sección 2.6), entre muchas otras razones. Se dice que la seguridad de un sistema se reduce a algunos conceptos básicos , y debe tener en cuenta que, si usted libera cierta información, si permite que alguien comprometa la tríada de la CIA.

También existe la opción de una extranet infraestructura de DNS, que sería para empresas asociadas o compañías que usted hace. negocios con una base regular.

Por último, el DNS público se proporciona como un servicio a sus clientes, de nuevo, para que puedan ponerse en contacto con lo que sea que esté proporcionando. Un par de conceptos de seguridad a tener en cuenta con DNS incluyen:

• DNS Open Resolvers y Amplification attack
• Ataques de envenenamiento de caché de DNS
• Transferencias de zona desde servidores DNS deshonestos

Hay muchos, muchos más tipos de ataques cuando se habla de DNS, pero creo que los pocos anteriores son un buen punto de partida. Si está interesado en la seguridad del DNS, también le indicaré este informe y también DNSSEC .

Tenga en cuenta que tener un servidor DNS público no significa que conoce todos los nombres de dominio en la red. El DNS por diseño no significa que tenga una copia autorizada de todas las zonas, sino que utiliza un sistema de nombres jerárquico.

Los servidores DNS públicos y privados se dividen por razones de seguridad y privacidad. Si anuncia todos sus nombres de dominio internos (utilizados por su dominio de directorio activo, por ejemplo), puede anunciar inadvertidamente las direcciones IP locales de estas máquinas. Si bien esto no significa que los hosts externos puedan acceder a estas máquinas, filtra información valiosa para un atacante.

Por lo tanto, tiene la opción de tener un servidor DNS separado para sus dominios públicos, este servidor DNS no sabe nada sobre el dominio interno y, por lo tanto, no puede anunciar los nombres de dominio utilizados internamente. Todo el mundo puede consultar su servidor DNS público. Asegúrese de que:

• Deshabilite la recursión en su DNS público para que solo responda a las solicitudes de DNS para el dominio para el que está autorizado. (evita el envenenamiento de la caché de DNS si configura sus cortafuegos para que no permita que las IP externas provengan de Internet hacia su red interna, que se usa cuando se usa la suplantación de identidad)

A continuación, también ejecuta un servidor DNS privado (que solo debe ser accesible desde las IP internas y que solo debe responder a las IP internas). Este servidor DNS contiene información sobre sus dominios internos. Éste se puede configurar de forma recursiva para que también pueda resolver dominios para los que no tiene autoridad. Asegúrese de que:

• No puedo enfatizar lo importante que es que solo responda a las IP en el dominio interno. Esto también mitigará en gran medida la posibilidad de un DNS externo exitoso
• También configura este servidor DNS para que solo use sugerencias de raíz y no reenviadores (esto puede mitigar en gran medida los ataques MITM).
• Tener un servidor de nombres de almacenamiento en caché local (para evitar el secuestro NXDOMAIN)
• Se permite la recursión en un servidor DNS privado siempre que se asegure de tener en cuenta el primer punto.

También existe la opción de DNS de horizonte dividido

  

En redes de computadoras, DNS de horizonte dividido, DNS de vista dividida o dividido   DNS es la facilidad de una implementación del Sistema de nombres de dominio (DNS) para   proporcionar diferentes conjuntos de información de DNS, seleccionados por, por lo general, el   Dirección de origen de la solicitud de DNS. Esta instalación puede proporcionar una   Mecanismo de gestión de seguridad y privacidad mediante lógica o física.   separación de información de DNS para el acceso interno a la red (dentro de un   dominio administrativo, por ejemplo, compañía) y acceso desde un usuario no seguro,   red pública (por ejemplo, Internet). Implementación de horizonte dividido   El DNS se puede lograr con separación basada en hardware o mediante software   soluciones Las implementaciones basadas en hardware ejecutan un servidor DNS distinto   Dispositivos para la granularidad de acceso deseada dentro de las redes.   involucrado. Las soluciones de software utilizan varios procesos de servidor DNS   en el mismo hardware o software de servidor especial con el incorporado   Capacidad de discriminar el acceso a los registros de zona DNS. Este último es   Una característica común de muchas implementaciones de software de servidor del DNS.   protocolo (véase la comparación del software del servidor DNS) y es a veces el   significado implícito del término DNS de horizonte dividido, ya que todas las demás formas   La implementación se puede lograr con cualquier software de servidor DNS.

También deberías ver DNSSEC

  

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) son un conjunto de   Especificaciones de Internet Engineering Task Force (IETF) para asegurar   ciertos tipos de información proporcionada por el Sistema de nombres de dominio (DNS)   tal como se utiliza en redes de protocolo de Internet (IP). Es un conjunto de extensiones.   a DNS que proporciona a los clientes DNS (resolutores) la autenticación de origen   de los datos del DNS, la denegación de existencia autenticada y la integridad de los datos,   pero no disponibilidad o confidencialidad.

Le sugiero que se tome su tiempo para familiarizarse con todos estos protocolos.

Bueno, si está registrando sus computadoras con su servidor DNS, probablemente no quiera que cualquiera en Internet pueda consultar en qué dirección se encuentra la computadora portátil de su CEO. Del mismo modo, no desea que los servidores de desarrollo, servidores para servicios no anunciados, etc. se hagan públicos.

En cuanto a las consultas a los servidores DNS para obtener direcciones públicas de otros sitios, tal vez quiera redirigir algunas de esas solicitudes a través de un proxy, o tal vez desee redirigir a sus usuarios lejos de sitios maliciosos. Es posible que solo desee reducir la cantidad de tráfico DNS que circula entre su red e Internet, o asegurarse de que todos sus usuarios estén utilizando buenos servidores DNS. No permitir que el DNS salga a Internet excepto desde los servidores DNS designados significa que las máquinas de sus usuarios no están consultando servidores DNS desconocidos y potencialmente secuestrados para cada búsqueda.

Un servidor DNS privado tiene varias ventajas para un administrador del sistema:

• Como un DNS privado solo está disponible dentro de una red privada, ese servidor DNS puede resolver dominios que solo son válidos dentro de la red. Podría, por ejemplo, resolver "greatplains.accounting.int" en el servidor ERP principal de la empresa. De manera similar, puede darle a la máquina de todos un nombre de dominio, como brandon.smith.laptop, y hacer que el servidor DNS se sincronice con DHCP para mantener las direcciones IP actualizadas (no es una buena idea si las direcciones IP cambian a menudo, ya que las máquinas locales almacenarán en caché el DNS). solicitudes y respuestas que ya no son válidas)
• De manera similar, el DNS se puede usar como una lista negra de pobres. Cualquier dominio al que no quiera que la gente en su red navegue (sitios de pornografía, sitios de malware conocido, otros que no sean de trabajo) puede aparecer en su DNS privado, enrutando a una página interna que les dice "deje de joder y vuelva al trabajo". Existen mejores herramientas para esto, como los analizadores de tráfico, y siempre hay formas de evitarlo, pero funciona.
• También se puede hacer un nivel aproximado de equilibrio de carga apuntando a diferentes clientes a diferentes servidores DNS internos que los enrutarán a diferentes IP de punto final de servicio. Nuevamente, hay mejores herramientas disponibles, pero esto funciona.
• Un servidor DNS privado le permite el control en tiempo real del servidor DNS principal autorizado de su red (el que sabe cómo resolver cualquier dirección que su propio servidor no pueda). Si su ISP llama y dice "nuestro DNS fue pirateado, use este alternativo en lugar de otro aviso", todo lo que tiene que hacer es actualizar su DNS privado para referirse al nuevo como su padre autoritario, luego indique a sus usuarios que abran un el símbolo del sistema y escriba ipconfig /flushdns , en lugar de cambiar la configuración de DNS en el controlador de dominio de la red (DHCP, Política de grupo), y obligar a todos a reiniciar sus equipos o recuperar la información de su dirección de red.