Домен верхнього / доменного суфікса для приватної мережі?


115

У нашому офісі у нас є локальна мережа із суто внутрішньою настройкою DNS, в якій всі клієнти названі як whatever.lan. У мене також є середовище VMware, і в мережі, що використовується лише для віртуальної машини, я називаю віртуальні машини whatever.vm.

В даний час ця мережа для віртуальних машин недоступна з нашої локальної мережі, але ми встановлюємо виробничу мережу для перенесення цих віртуальних машин, які будуть бути доступні з локальної мережі. Як результат, ми намагаємося домовитись про домовленість щодо доменного суфікса / TLD, яку ми застосовуємо до гостей у цій новій мережі, яку ми встановлюємо, але ми не можемо придумати хорошого, враховуючи це .vm, .localі .lanвсі вони мають існуючі конотації в нашому середовищі.

Отже, яка найкраща практика в цій ситуації? Чи є десь список TLD або доменних імен, які безпечно використовувати для чисто внутрішньої мережі?


2
Не використовуйте .local. Особливо, якщо у вас є будь-які клієнти Apple.
RainyRat

2
.test відкладено з цієї причини: secure.wikimedia.org/wikipedia/en/wiki/.test
CWSpear

1
@CWSpear Це не справжня причина .test , зарезервована, хоча це робить її безпечним доменом для використання в тестових мережах, які не будуть підключені до Інтернету.
voretaq7

10
@Otto кращі практики означають, що ви придбаєте "справжнє" доменне ім'я (під ICANN-визнаним TLD) і створите піддомен цього для своїх локальних речей (наприклад, зареєструйте mydomain.com, делегуйте internal.mydomain.comвнутрішній NS та правильно налаштуйте DNS-горизонт розділеного горизонту ( "перегляди" в BIND), щоб ви не просочували внутрішні імена / адреси в Інтернет. Це не так красиво, як TLD / pseudo-TLD, але він менш схильний до поломки, як під вашим контролем.
voretaq7

9
Однак не використовуйте справжнє доменне ім’я, яке ви вже використовували для виробничих служб, що стоять перед громадськістю. Існують різні взаємодії, дозволені між ними www.example.comі *.internal.example.comзаборонені між, www.example.comі *.example.net, особливо, налаштуваннями файлів cookie між веб-сайтами. Запуск внутрішніх та зовнішніх сервісів на одному домені збільшує ризик того, що компроміс публічної служби призведе до деякого втручання у внутрішні служби, і навпаки, що небезпечна внутрішня послуга може спровокувати внутрішнє зловживання зовнішньою послугою.
bobince

Відповіді:


94

Не використовуйте винайдений TLD. Якби ICANN делегував його, ви мали би великі проблеми. Те саме, якщо ви об'єднаєтесь з іншою організацією, яка, звичайно, використовує ту саму фіктивну TLD. Ось чому перевагу мають глобально унікальні доменні імена.

Стандарт RFC 2606 залишає назви для прикладів, документації, тестування, але нічого для загального використання та з поважних причин: сьогодні так просто і дешево отримати справжнє та унікальне доменне ім’я, що немає жодної вагомої причини використовувати манекен.

Отже, купуйте iamthebest.orgта використовуйте його для іменування своїх пристроїв.


53
Щоб бути повністю безпечним, я ставлю все на субдомен доменного імені моєї компанії, наприклад local.company.org, vm.company.org тощо.
сухі змагання

4
Поставити +1. Імовірно, у вашої компанії вже є домен. Просто створіть з цього піддомен. Він не повинен бути видимим / вирішеним за межами вашої локальної мережі.
Ден Карлі

3
Добре, навіть у дуже хороших юристів у вас виникнуть проблеми із претензіями на ".lan" або ".local", посилаючись на торгову марку. І аргумент "це лише внутрішній" вкрай слабкий: організації об'єднуються, встановлюють віртуальні приватні мережі з партнерськими організаціями і просто роблять помилки такими, що "приватні" імена просочуються.
bortzmeyer

8
Моя єдина яловичина з цим - це те, що ви не можете реально "купити" домен: ви можете орендувати лише один. Деякі бозо забуває платити рахунок (а це трапляється в декількох гучних випадках), а основна частина вашої конфігурації переходить до випадкових скватерів. Отже, ви використовуєте домен своєї компанії? Execs вирішує ребрендинг або викупить, і ви застрягли зі старим іменем. .local раніше працював достатньо добре, але зараз його визнала певна компанія способами, які відмовляються грати добре. Мені б дуже хотілося, щоб я побачив щось подібне .lan або .internal, формально зарезервоване для цієї мети, але до цього часу це найкращий варіант.
Joel Coel

6
Погодьтеся з @Joel Coel, ви орендар, і більше нічого. Повинні бути два зарезервовані імена TLD лише для внутрішнього користування, які слід вважати недійсними у загальнодоступних і недоступних громадськими мережами. Одне ім'я було б для внутрішнього домашнього використання, друге ім'я - для внутрішнього використання. Обидва вважатимуться "приватними TLD" у тому ж сенсі, що у нас є "приватні підмережі", які не є маршрутизованими (192.168.xx та невірно). Це дозволяє домашнім користувачам щось робити, крім того, щоб бути змушеними в .local та mDNS. Ditto для малого бізнесу, який працює за внутрішньою локальною мережею за NAT, без домену
Евері Пейн

49

Використовуйте субдомен зареєстрованого домену вашої компанії для внутрішніх машин, імена яких ви не бажаєте доступні в Інтернеті. (Тоді, звичайно, розміщуються лише ті імена на внутрішніх серверах DNS.) Ось кілька прикладів для вигаданого корпорації Example.

Інтрнет-сервери:
доменів www.example.com
mail.example.com
dns1.example.com

Внутрішні машини:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

Я використовував "corp", щоб вказати, що цей піддомен описав машини у внутрішній корпоративній мережі, але ви можете тут використовувати все, що завгодно, наприклад "внутрішній": client1.internal.example.com.

Пам'ятайте також, що DNS-зони та субдомени не повинні узгоджуватись із вашою мережевою схемою нумерації. Наприклад, у моєї компанії є 37 локацій, кожна з яких має свою підмережу, але всі локації використовують однакове (внутрішнє) доменне ім'я. І навпаки, у вас може бути лише одна або кілька підмереж, але багато однорідних внутрішніх доменів або рівнів субдоменів, які допоможуть вам організувати ваші машини.


32

Є ще одна перевага використання внутрішнього піддомену: вміло використовуючи пошукові суфікси та лише імена хостів замість FQDN, ви можете створювати конфігураційні файли, які працюють як у розробці, якості та виробництві.

Наприклад, ви завжди використовуєте "database = dbserv1" у своєму конфігураційному файлі.

На сервері розробки ви встановлюєте суфікс пошуку на "dev.example.com" => використовуваний сервер бази даних: dbserv1.dev.example.com

На сервері QA ви встановлюєте суфікс пошуку на "qa.example.com" => використовуваний сервер бази даних: dbserv1.qa.example.com

А на виробничому сервері ви встановлюєте суфікс пошуку на "example.com" => сервер бази даних, який використовується: dbserv1.example.com

Таким чином, ви можете використовувати однакові налаштування в будь-якому середовищі.


2
Це геніально.
Кріс Магнусон

19
Поки хтось не налаштовує свою робочу станцію з суфіксом виробничого пошуку для перевірки проблеми, а пізніше ненавмисно оновить купу виробничих записів.
Joel Coel

1
Це досить сильно, записи SRV дуже прості для розбору і можуть бути розміщені в будь-якій зоні, так що той же сервер db обслуговує кілька зон. У цьому випадку деякий біт коду заповнює значення у ваших конфігураційних файлах. І ви можете використовувати ім'я бази даних як ключ SRV, а значення курсу, що вказує на ім'я хоста. Я ніколи не покладався на пошукові суфікси. Ви також можете бути досить креативними з записами TXT і можете заповнити їх зашифрованими aes-256 (тоді базовими кодованими) значеннями, якщо вони є секретами. Ви можете використовувати записи TXT для всіляких речей.
figtrap

Дивіться, але те, що я хочу, це example.com, example.dev і example.stg. Останні 2 є лише в приватній мережі, чи можу я встановити локальний DNS-сервер для нульового доступу до конфігурації? Все ж тут використовується аналогічна конфігурація для всіх сайтів, просто переміщуючи зміни до tld. Легко для .dev з файлом хостів, але нульовою конфігурацією ...
DigitalDesignDj

14

Оскільки попередні відповіді на це запитання були написані, було кілька RFC, які дещо змінюють керівництво. RFC 6761 обговорює доменні імена спеціального призначення, не надаючи конкретних вказівок для приватних мереж. RFC 6762 все ще рекомендує не використовувати незареєстровані TLD, але також визнає, що є випадки, коли це все одно буде зроблено. Оскільки загальновживаний .local конфліктує з багатоадресною DNS (основна тема RFC), додаток G. Приватні простори імен DNS рекомендують такі TLD:

  • інтранет
  • внутрішній
  • приватний
  • корп
  • додому
  • лан

Схоже, IANA розпізнає обидва RFC, але не містить (на даний момент) імен, перелічених у Додатку G.

Іншими словами: ви не повинні цього робити. Але коли ви все-таки вирішите це зробити, використовуйте одне з перерахованих вище імен.


Додаток G перед списком, який ви цитуєте: "Ми взагалі не рекомендуємо використовувати незареєстровані домени верхнього рівня". Це більше ключовий момент. Наведені імена не рекомендується використовувати, вони просто спостерігають імена, які будуть працювати краще, ніж те, .localяке є зарезервованим для MulticastDNS, про що йде мова в Додатку G.
Патрік Мевзек

2
Я б не погодився. Ключовим моментом є абсурдність поради: "не робіть цього ... але коли ви це робите ..." Очікування, що домашній / малий бізнес / недержавні мережі повинні зареєструвати TLD, не є реалістичним. Люди будуть використовувати незареєстровані TLD так далеко, щоб краще допомогти всім і сказати: «Добре, ось список незареєстрованих TLD, якими ви можете користуватися внутрішньо», а не робити вигляд, що всі будуть слідувати суворим порадам.
blihp

Ми тоді залишимося в незгоді. Той факт, що деякі люди використовували TLD так, як вони є внутрішніми (наприклад, .MAIL зустрічаються у багатьох документальних документах), є саме тією причиною, через яку ці TLD не вдалося делегувати і тепер вони нескінченно мертві. Отже, продовжувати рекомендувати людям використовувати TLD таким чином, це є корисною для глобальної інтернет-спільноти. Порада говорить, що оскільки деякі TLD вже зловживають таким чином, якщо люди зловживають, вони повинні використовувати їх повторно, а не зловживати новими. RFC2606 зрозуміло, що TLD можуть використовувати внутрішньо, що буде працювати:.EXAMPLE .TEST .INVALID
Патрік Мевзек

12

Як уже було сказано, ви не повинні використовувати незареєстрований TLD для вашої приватної мережі. Особливо зараз, коли ICANN дозволяє практично будь-кому реєструвати нові TLD. Потім слід використовувати справжнє доменне ім’я

З іншого боку, RFC 1918 зрозумілий:

Непрямі посилання на такі адреси повинні міститися в межах підприємства. Видатними прикладами таких посилань є записи DNS-ресурсів та інша інформація, що стосується внутрішніх приватних адрес. Тому ваш сервер імен також повинен використовувати представлення даних, щоб запобігти передачі приватних записів в Інтернеті.


10

Ми, як правило, не вважаємо різницю у віртуальному іменуванні хостів від фізичного - насправді ми взяли до вилучення конфігурації (програмного забезпечення) хосту від фізичного рівня.

Таким чином, ми купуємо елементи обладнання та створюємо елементи хосту над ними (і використовуємо прості відносини, щоб показати це в нашій документації).

Мета полягає в тому, що коли існує хост, DNS не повинен бути визначальним фактором - оскільки у нас машини переходять з одного простору в інший - наприклад, низькопродуктивний веб-сервер не потребує споживання дорогих циклів процесора - віртуалізуйте його , і вона зберігає свою схему іменування, все продовжує працювати.


-4

Я не впевнений, що це допоможе вам, але для внутрішнього DNS всередині мого облікового запису AWS я використовую .awsяк tld, і, здається, він працює чудово.

Я знаю, що є деякі TLD, які ви повинні просто не використовувати, але крім них, я не думаю, що це занадто суворо.

Я працював у кількох більших компаніях, де вони використовували б джерело аутентифікації як TLD, тобто якщо це був сервер MS / Windows, використовуючи Active Directory як джерело автентичності, це було б .ad, і деякі інші були б .ldap(чому вони були я просто використовую той самий джерело? або сервери, що реплікуються з тієї ж служби каталогів? Не знаю, це було так, коли я потрапив туди)

Удачі


2
Amazon тепер зареєстрований .awsяк TLD, щоб ви могли з часом почати виникати
Mark

1
Для інформації .aws зареєстровано нещодавно "25 березня 2016" => newgtlds.icann.org/en/program-status/delegated-strings
Бруно Аделье

Хоча я не думаю, що використання фальшивого TLD - це не велика угода, принаймні ні, якщо вся система закрита і використовує проксі для спілкування з Інтернетом в цілому, ".aws" - це дійсно поганий вибір, якщо ви не НЕ в AWS! Занадто багато можливих сценаріїв, коли ви більше не зможете спілкуватися з AWS.
figtrap
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.