Чи записує DNS приватну інформацію?

17

Якщо припустити, що ви хотіли створити субдомен, який вказує на приватне місцеположення (можливо, на розташування бази даних або IP-адресу комп’ютера, на який ви не хочете, щоб люди намагалися ввести SSH), тож ви додасте запис DNS з назвою щось подобається це:

private-AGhR9xJPF4.example.com

Це було б "приховано" для всіх, крім тих, хто знає точний URI для субдомана? Або, чи є якийсь спосіб "перерахувати" всі зареєстровані субдомени певного домену?

domain-name-system  security  subdomain 
IQAndreas
джерело
Якщо ви не хочете, щоб це було відомо чи виявлено, чому б ви створили для нього запис DNS в першу чергу?
joeqwerty
1
@joeqwerty Якщо сервер використовує динамічну IP-адресу або якщо я хочу змінити цільовий IP пізніше, я хочу, щоб будь-які програми, які підключаються до цього сервера, продовжували працювати без змін.
IQAndreas
Я впевнений, що на це десь відповіли в іншому запитанні, але я не зміг його знайти за допомогою пошуку.
Андрій Б
15
Зауважте, що є багато недоброзичливців, які сканують весь ІР-простір для комп’ютерів, в які вони можуть потрапити в SSH. Якщо це доступно з загальнодоступного Інтернету, ви збираєтесь забирати людей, що стукають по порту SSH.
pjc50
1
Справжнє рішення вашої проблеми - це брандмауер та VPN.
josh3736

Відповіді:

29

Чи існує якийсь запит "перелік доменів" для DNS?

Для цієї конкретної мети немає запиту, але є кілька непрямих методів.

  • Несекретний перенос зони ( AXFR). Більшість операторів серверів блокують передачі зон на конкретні IP-адреси, щоб запобігти неприєднаним сторонам ковтати.
  • Якщо DNSSEC увімкнено, NSECдля прогулянки по зоні можна використовувати ітеративні запити . NSEC3було здійснено, щоб зробити зону ходьби більш обчислювальною.

Також є хитрість, яка дозволить комусь знати, чи існує довільний піддомен.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

У наведеному вище прикладі wwwлежить всередині sub. Запит sub.example.com IN Aне поверне розділ ВІДПОВІДЬ, але код результату буде NOERROR замість NXDOMAIN, зраджуючи існування записів далі по дереву. (тільки не так, як називаються ці записи)

Чи слід коли-небудь покладатися на секретність записів DNS?

Ні . Єдиний спосіб надійно приховати дані від клієнта - це гарантувати, що він ніколи не може отримати ці дані. Припустимо, що існування ваших записів DNS поширюватиметься серед тих, хто має доступ до них, будь то усним словом або спостерігаючи за пакетами.

Якщо ви намагаєтесь приховати записи від маршрутизованого клієнта DNS, ви робите це неправильно ™ . Переконайтеся, що дані піддаються лише оточенню, яке потребує. .

Зосередження уваги на безпеці має бути на тому, що відбувається, коли хтось отримає IP-адресу, оскільки це відбудеться.

Я знаю, що перелік причин секретності IP-адреси, що є мрією, може бути розширений. Сканування IP-адрес, соціальна інженерія ... список нескінченний, і я в основному зосереджуюсь на аспектах протоколу DNS цього питання. Зрештою, все потрапляє під той самий парасольку: хтось збирається отримати вашу IP-адресу .

Андрій Б
джерело
3

Це залежить.

Відповідь Ендрю Б - це місце, коли ви реєструєте субдомен у загальнодоступній зоні DNS, де також розміщуються записи MX ваших компаній та, наприклад, публічний веб-сайт.

Більшість компаній мають внутрішній DNS-сервер, не публічно доступний, де ви реєструєте імена хостів для своїх внутрішніх ( секретних ) хостів.

Рекомендований метод - зареєструвати виділений домен для внутрішнього використання або альтернативно створити піддомен у вашому первинному домені для внутрішнього використання.

Але технічно ви також використовуєте свій основний домен, створивши внутрішній вигляд свого домену, де залежно від походження клієнта DNS буде видна альтернативна версія зони DNS.

HBruijn
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.