Un par de preguntas sobre el tráfico de DNS entre TRUST y DMZ y las mejores prácticas.
¿Existe algún riesgo significativo al depender del DNS interno de un servidor web alojado en una zona DMZ? ¿Se ha usado el protocolo DNS para explotar / poner en peligro un controlador de dominio de Windows (el servidor DNS)?
¿Puede una inspección / filtrado de tráfico NGFW reducir este riesgo para hacerlo aceptable?
Sabiendo que es un controlador de dominio, solo lo usarían personas dentro de la red interna, ¿no? Podría querer verificar dos veces con esta pregunta relacionada .
Ya sea que sea su host o no en la zona DMZ, le recomiendo apuntar a una configuración en la que solo se permita el tráfico que involucre el puerto UDP 53 y que sea tanto de entrada como de salida.
Puede lograrlo mediante la configuración de NGFW, algún dispositivo que tenga un firewall con estado o un firewall basado en el host dentro del servidor DNS. Si pudieras tener 2 o 3 de estos hechos, entonces eso es bueno ya que la defensa en profundidad es una buena práctica. Pruebe que funciona correctamente para cada defensa configurada para garantizar la disponibilidad de su dispositivo.
Sin embargo, si lo coloca en la zona DMZ, es de suma importancia tener un dispositivo de firewall entre su servidor DNS y el enrutador para asegurarse de que esté segmentado y alejado de su red interna en caso de que el pirata informático lo comprometa. s.
Recuerde siempre que no hay defensa absoluta, así que prepare planes / protocolos a seguir si un ataque de piratería tiene éxito y se intensifica para prevenir / volver a mediar la emergencia.
Lea otras preguntas en las etiquetas trust dns windows-server dmz