web-dev-qa-db-fra.com

Avantages / inconvénients de l'utilisation d'un DNS privé par rapport à un DNS public

Je me demandais pourquoi une entreprise devrait utiliser un DNS privé.

Par rapport à un DNS public, quels sont les avantages d'un DNS privé et quels problèmes un DNS public peut-il créer pour une entreprise?

Je suis nouveau dans ces concepts de sécurité des réseaux, donc c'est peut-être une question très fondamentale.

18
DGomez

Le DNS est un sujet très large, même lorsque vous le réduisez pour avoir un objectif de sécurité, mais j'essaierai d'aborder cela d'une manière qui vous paraîtra la plus logique. Si vous cherchez une introduction de très haut niveau au DNS, je suggère this . Pour un peu plus de détails, vérifiez ceci .

Tout d'abord, vous voudrez peut-être savoir que DNS privé vs DNS public peut être interprété comme signifiant plusieurs choses. La première chose à laquelle j'ai pensé était DNS à horizon partagé , où vous utilisez le même nom DNS pour interne et externe, mais fournissez des informations différentes selon la source de la requête DNS. Il existe cependant d'autres options, telles que le choix d'utiliser des noms complètement différents en interne et en externe (tels que example.com publiquement et example.local en privé). J'ai vu les deux implémentés dans des entreprises, mais avoir des serveurs DNS et des espaces de noms complètement séparés internes et externes est préférable d'un point de vue de la sécurité.

Vous souhaiterez généralement conserver vos adresses RFC1918 uniquement dans votre DNS privé, ainsi que vos adresses privées accessibles sur Internet. C'est moins important avec IPv4, mais avec IPv6, avoir des adresses IP accessibles sur Internet est beaucoup plus répandu (bien que pas nécessaire ).

Essentiellement, cela se résume au fait que vous voudriez une infrastructure DNS privée afin de servir les employés, de sorte qu'ils n'aient pas besoin de mémoriser les IP (ou VIP ) de chaque service. Vous ne voudriez pas que ces entrées DNS soient disponibles sur Internet car elles pourraient être utilisées pour énumération ou découverte (voir la section 2.6), entre autres raisons. On dit que la sécurité d'un système se résume à quelques concepts de base , et vous devez garder à l'esprit que, si vous publiez certaines informations, si cela permet à quiconque de compromettre la triade CIA.

Il existe également l'option d'une infrastructure DNS extranet , qui serait destinée aux entreprises partenaires ou aux entreprises avec lesquelles vous faites régulièrement affaire.

Enfin, le DNS public est fourni en tant que service à vos clients, encore une fois, afin qu'ils puissent contacter tout ce que vous fournissez. Voici quelques concepts de sécurité à garder à l'esprit avec DNS:

Il y a beaucoup, beaucoup plus de types d'attaques lors de la discussion sur DNS, mais je pense que les précédents sont un bon point de départ. Si vous êtes intéressé par la sécurité DNS, je voudrais également vous signaler cet article , et aussi DNSSEC .

8
JZeolla

Notez qu'avoir un serveur DNS public ne signifie pas qu'il connaît tous les noms de domaine du réseau. DNS par conception ne signifie pas que vous disposez d'une copie faisant autorité de toutes les zones, mais utilise s un système de dénomination hiérarchique.

Les serveurs DNS publics et privés sont divisés pour des raisons de sécurité et de confidentialité. Si vous publiez tous vos noms de domaine internes (utilisés par exemple par votre domaine Active Directory), vous pouvez par inadvertance publier les adresses IP locales de ces machines. Bien que cela ne signifie pas que les hôtes externes peuvent accéder à ces machines, cela laisse fuir des informations précieuses pour un attaquant.

Par conséquent, vous avez la possibilité d'avoir un serveur DNS distinct pour vos domaines publics, ce serveur DNS ne sait rien du domaine interne et ne peut donc pas annoncer les noms de domaine utilisés en interne. Tout le monde peut interroger votre serveur DNS public. Sois sûr que:

  • Désactivez la récursivité sur votre DNS public afin qu'il ne réponde qu'aux demandes DNS pour le domaine pour lequel il fait autorité. (empêche l'empoisonnement du cache DNS si vous configurez vos pare-feu pour ne pas autoriser les adresses IP externes provenant d'Internet vers votre réseau interne, qui est utilisé lors de l'usurpation d'identité)

Vous exécutez ensuite également un serveur DNS privé (qui ne doit être accessible qu'à partir des adresses IP internes et qui ne doit répondre qu'aux adresses IP internes). Ce serveur DNS contient des informations sur vos domaines internes. Celui-ci peut être configuré récursif afin qu'il puisse également résoudre les domaines pour lesquels il ne fait pas autorité. Assure-toi:

  • Je ne peux pas souligner à quel point il est important qu'il ne réponde qu'aux adresses IP du domaine interne.Cela atténuera également largement les chances de succès d'un DNS externe
  • Vous configurez également ce serveur DNS pour n'utiliser que des indications de racine et non des redirecteurs (cela peut largement atténuer les attaques MITM).
  • Avoir un serveur de noms en cache local (pour éviter le piratage NXDOMAIN)
  • La récursivité est autorisée sur un serveur DNS privé tant que vous vous assurez d'avoir pris en compte le premier point.

Il y a aussi l'option DNS à horizon partagé

Dans les réseaux informatiques, le DNS à horizon fractionné, le DNS à vue fractionnée ou le DNS fractionné est la facilité d'une implémentation du système de noms de domaine (DNS) pour fournir différents ensembles d'informations DNS, sélectionnés par, généralement, l'adresse source de la demande DNS. Cette fonction peut fournir un mécanisme de gestion de la sécurité et de la confidentialité par une séparation logique ou physique des informations DNS pour un accès interne au réseau (dans un domaine administratif, par exemple, une entreprise) et un accès à partir d'un réseau public non sécurisé (par exemple Internet). La mise en œuvre du DNS à horizon fractionné peut être réalisée avec une séparation matérielle ou par des solutions logicielles. Les implémentations basées sur le matériel exécutent des périphériques de serveur DNS distincts pour la granularité d'accès souhaitée au sein des réseaux impliqués. Les solutions logicielles utilisent plusieurs processus de serveur DNS sur le même matériel ou un logiciel serveur spécial avec la capacité intégrée de discriminer l'accès aux enregistrements de zone DNS. Ce dernier est une caractéristique commune à de nombreuses implémentations de logiciels de serveur du protocole DNS (cf. Comparaison des logiciels de serveur DNS) et est parfois la signification implicite du terme DNS à horizon partagé, car toutes les autres formes de mise en œuvre peuvent être réalisées avec n'importe quel DNS. logiciel serveur.

Vous devriez également jeter un œil à DNSSEC

Les extensions de sécurité du système de noms de domaine (DNSSEC) sont une suite de spécifications IETF (Internet Engineering Task Force) permettant de sécuriser certains types d'informations fournies par le système de noms de domaine (DNS) telles qu'elles sont utilisées sur les réseaux IP (Internet Protocol). Il s'agit d'un ensemble d'extensions DNS qui fournissent aux clients DNS (résolveurs) l'authentification d'origine des données DNS, le déni d'existence authentifié et l'intégrité des données, mais pas la disponibilité ni la confidentialité.

Je vous suggère de prendre votre temps pour vous familiariser avec tous ces protocoles.

4
Lucas Kauffman

Eh bien, si vous enregistrez vos ordinateurs avec votre serveur DNS, vous ne voulez probablement pas que quiconque sur Internet puisse demander à quelle adresse se trouve l'ordinateur portable de votre PDG. De même, vous ne voulez pas rendre publics les serveurs de développement, les serveurs de services non annoncés, etc.

En ce qui concerne l'interrogation des serveurs DNS pour les adresses publiques d'autres sites, vous pouvez peut-être rediriger certaines de ces demandes de site via un proxy, ou peut-être vous voulez rediriger vos utilisateurs loin des sites malveillants. Vous souhaitez peut-être simplement réduire la quantité de trafic DNS entre votre réseau et Internet, ou vous assurer que tous vos utilisateurs utilisent de bons serveurs DNS connus. Ne pas laisser DNS sortir sur Internet, sauf à partir des serveurs DNS désignés, signifie que les machines de vos utilisateurs n'interrogent pas les serveurs DNS inconnus et potentiellement piratés pour chaque recherche.

0
Rod MacPherson

Un serveur DNS privé présente plusieurs avantages pour un administrateur système:

  • Dans la mesure où un DNS privé n'est disponible que sur un réseau privé, ce serveur DNS peut résoudre des domaines qui ne sont valides que sur le réseau. Vous pouvez, par exemple, résoudre "greatplains.accounting.int" sur le serveur principal de l'entreprise ERP. De même, vous pouvez donner à la machine de chacun un nom de domaine, comme brandon.smith.laptop, et avoir la synchronisation du serveur DNS avec DHCP pour maintenir les adresses IP à jour (ce n'est pas une bonne idée si les adresses IP changent souvent, car les machines locales mettront en cache les demandes et réponses DNS qui ne sont plus valides)
  • De même, le DNS peut être utilisé comme liste noire d'un pauvre. Tout domaine auquel vous ne voulez pas que les gens de votre réseau naviguent (sites pornographiques, sites de logiciels malveillants connus, autres non-travail) puisse être répertorié dans votre DNS privé, en le redirigeant vers une page interne leur disant "arrêtez de visser et recommencez à travailler". Il existe de meilleurs outils pour cela, tels que des analyseurs de trafic, et il existe toujours des moyens de le contourner, mais cela fonctionne.
  • Un niveau approximatif d'équilibrage de charge peut également être effectué en pointant différents clients vers différents serveurs DNS internes qui les achemineront vers différentes adresses IP de point de terminaison de service. Encore une fois, de meilleurs outils sont disponibles, mais cela fonctionne.
  • Un serveur DNS privé vous permet de contrôler en temps réel le serveur DNS parent faisant autorité de votre réseau (celui qui sait résoudre toute adresse que votre propre serveur ne peut pas). Si votre FAI appelle et dit "notre DNS a été piraté, utilisez-le à la place jusqu'à nouvel ordre", tout ce que vous avez à faire est de mettre à jour votre DNS privé pour désigner le nouveau comme votre parent faisant autorité, puis demandez à vos utilisateurs d'ouvrir un invite de commandes et tapez ipconfig /flushdns, plutôt que de modifier les paramètres DNS dans le contrôleur de domaine réseau (DHCP, stratégie de groupe) et d'exiger que tout le monde redémarre son ordinateur ou réachète ses informations d'adresse réseau.
0
KeithS