Riesgo de seguridad al usar IP interna en DNS público

5

Un servidor web dentro de la red de la oficina al que el personal accede internamente y el DNS interno resuelve web.company.com a la IP de LAN del servidor.

Públicamente, los servidores de nombres de company.com pertenecen a su compañía de alojamiento de fiestas donde se encuentra el sitio web principal de la compañía y no tiene el registro de web.company.com.

Ahora, si también se puede acceder a web.company.com desde afuera, está bien exponer nuestra IP de LAN en el registro A para que solo el personal con VPN pueda acceder; o ¿debería web.company.com resolver la dirección externa de la red de la oficina y usar un firewall para enrutar a la IP de la LAN?

    
pregunta Jake 21.01.2015 - 10:27
fuente

3 respuestas

2

Incluir IP privadas en las entradas de DNS públicas no es ideal porque proporciona un atacante con:

  • Una indicación de cuáles son sus subredes internas;
  • Direcciones IP reales para recursos internos específicos.

Es probable que ninguno de los dos resulte en un compromiso directo, pero puede ayudar con un ataque o puede facilitar un compromiso hacia adelante.

En términos generales, debe evitarse la pérdida de información sobre su red interna y los recursos alojados en ella.

A partir de su pregunta, parece que los recursos internos solo están destinados a los usuarios de VPN, por lo que podría ser más apropiado tener un DNS interno al que los usuarios de VPN puedan acceder. Esto evita cualquier problema al incluir información "confidencial" en los registros DNS públicos.

    
respondido por el R15 21.01.2015 - 14:25
fuente
6

Existe otro riesgo al usar direcciones IP privadas / LAN para los registros DNS públicos.

Supongamos que tienes un usuario de computadora portátil en tu LAN, que usa web.company.com (que se resuelve, por ejemplo, en 192.168.178.10 ).

Si este usuario conecta su computadora portátil a otra red (¡wifi!), e intenta usar web.company.com , se resolverá a 192.168.178.1 usando la entrada de DNS pública. Es posible que la dirección IP 192.168.178.10 corresponda a una máquina en esta red extranjera. Luego, la computadora portátil enviará información a esta máquina, que incluso puede incluir credenciales de texto sin formato, cookies u otros datos.

Incluso puede ser posible configurar un tipo de honeypot usando algún conocimiento detallado de la LAN.

    
respondido por el oɔɯǝɹ 19.06.2016 - 00:45
fuente
0

Su descripción de la arquitectura y la arquitectura propuesta es un poco confusa. Si publica el DNS de una dirección IP interna en su DNS público, solo las personas en su red o en su VPN podrán acceder a él. Una parte externa podrá buscar en web.company.com y recuperar 172.168.1.10, pero la red en la que se encuentran no podrá dirigir el tráfico a ese servidor. El tráfico puede ir a 172.168.1.10 pero no será el servidor correcto. La red en la que se encuentran podría tener un servidor que use esa misma dirección IP.

Es posible que sea mejor utilizar una IP real para el servidor interno y que su enrutador dirija el tráfico al servidor interno (con las restricciones de acceso adecuadas). Hable con su equipo de red.

En términos de seguridad, no es bueno exponer las IP internas externamente, pero no es horrible. Podría ayudar a alguien que intenta atacar recursos internos desde afuera explotando un servicio fronterizo vulnerable. Está bien para una red comercial regular, no está bien para proteger mi marcapasos o los códigos de lanzamiento.

    
respondido por el u2702 21.01.2015 - 17:45
fuente

Lea otras preguntas en las etiquetas