Avantages / inconvénients de l'utilisation d'un DNS privé par rapport à un DNS public

Notez qu'avoir un serveur DNS public ne signifie pas qu'il connaît tous les noms de domaine du réseau. DNS par conception ne signifie pas que vous disposez d'une copie faisant autorité de toutes les zones, mais utilise s un système de dénomination hiérarchique.

Les serveurs DNS publics et privés sont divisés pour des raisons de sécurité et de confidentialité. Si vous publiez tous vos noms de domaine internes (utilisés par exemple par votre domaine Active Directory), vous pouvez par inadvertance publier les adresses IP locales de ces machines. Bien que cela ne signifie pas que les hôtes externes peuvent accéder à ces machines, cela laisse fuir des informations précieuses pour un attaquant.

Par conséquent, vous avez la possibilité d'avoir un serveur DNS distinct pour vos domaines publics, ce serveur DNS ne sait rien du domaine interne et ne peut donc pas annoncer les noms de domaine utilisés en interne. Tout le monde peut interroger votre serveur DNS public. Sois sûr que:

• Désactivez la récursivité sur votre DNS public afin qu'il ne réponde qu'aux demandes DNS pour le domaine pour lequel il fait autorité. (empêche l'empoisonnement du cache DNS si vous configurez vos pare-feu pour ne pas autoriser les adresses IP externes provenant d'Internet vers votre réseau interne, qui est utilisé lors de l'usurpation d'identité)

Vous exécutez ensuite également un serveur DNS privé (qui ne doit être accessible qu'à partir des adresses IP internes et qui ne doit répondre qu'aux adresses IP internes). Ce serveur DNS contient des informations sur vos domaines internes. Celui-ci peut être configuré récursif afin qu'il puisse également résoudre les domaines pour lesquels il ne fait pas autorité. Assure-toi:

• Je ne peux pas souligner à quel point il est important qu'il ne réponde qu'aux adresses IP du domaine interne.Cela atténuera également largement les chances de succès d'un DNS externe
• Vous configurez également ce serveur DNS pour n'utiliser que des indications de racine et non des redirecteurs (cela peut largement atténuer les attaques MITM).
• Avoir un serveur de noms en cache local (pour éviter le piratage NXDOMAIN)
• La récursivité est autorisée sur un serveur DNS privé tant que vous vous assurez d'avoir pris en compte le premier point.

Il y a aussi l'option DNS à horizon partagé

Dans les réseaux informatiques, le DNS à horizon fractionné, le DNS à vue fractionnée ou le DNS fractionné est la facilité d'une implémentation du système de noms de domaine (DNS) pour fournir différents ensembles d'informations DNS, sélectionnés par, généralement, l'adresse source de la demande DNS. Cette fonction peut fournir un mécanisme de gestion de la sécurité et de la confidentialité par une séparation logique ou physique des informations DNS pour un accès interne au réseau (dans un domaine administratif, par exemple, une entreprise) et un accès à partir d'un réseau public non sécurisé (par exemple Internet). La mise en œuvre du DNS à horizon fractionné peut être réalisée avec une séparation matérielle ou par des solutions logicielles. Les implémentations basées sur le matériel exécutent des périphériques de serveur DNS distincts pour la granularité d'accès souhaitée au sein des réseaux impliqués. Les solutions logicielles utilisent plusieurs processus de serveur DNS sur le même matériel ou un logiciel serveur spécial avec la capacité intégrée de discriminer l'accès aux enregistrements de zone DNS. Ce dernier est une caractéristique commune à de nombreuses implémentations de logiciels de serveur du protocole DNS (cf. Comparaison des logiciels de serveur DNS) et est parfois la signification implicite du terme DNS à horizon partagé, car toutes les autres formes de mise en œuvre peuvent être réalisées avec n'importe quel DNS. logiciel serveur.

Vous devriez également jeter un œil à DNSSEC

Les extensions de sécurité du système de noms de domaine (DNSSEC) sont une suite de spécifications IETF (Internet Engineering Task Force) permettant de sécuriser certains types d'informations fournies par le système de noms de domaine (DNS) telles qu'elles sont utilisées sur les réseaux IP (Internet Protocol). Il s'agit d'un ensemble d'extensions DNS qui fournissent aux clients DNS (résolveurs) l'authentification d'origine des données DNS, le déni d'existence authentifié et l'intégrité des données, mais pas la disponibilité ni la confidentialité.

Je vous suggère de prendre votre temps pour vous familiariser avec tous ces protocoles.

Eh bien, si vous enregistrez vos ordinateurs avec votre serveur DNS, vous ne voulez probablement pas que quiconque sur Internet puisse demander à quelle adresse se trouve l'ordinateur portable de votre PDG. De même, vous ne voulez pas rendre publics les serveurs de développement, les serveurs de services non annoncés, etc.

En ce qui concerne l'interrogation des serveurs DNS pour les adresses publiques d'autres sites, vous pouvez peut-être rediriger certaines de ces demandes de site via un proxy, ou peut-être vous voulez rediriger vos utilisateurs loin des sites malveillants. Vous souhaitez peut-être simplement réduire la quantité de trafic DNS entre votre réseau et Internet, ou vous assurer que tous vos utilisateurs utilisent de bons serveurs DNS connus. Ne pas laisser DNS sortir sur Internet, sauf à partir des serveurs DNS désignés, signifie que les machines de vos utilisateurs n'interrogent pas les serveurs DNS inconnus et potentiellement piratés pour chaque recherche.

Un serveur DNS privé présente plusieurs avantages pour un administrateur système:

• Dans la mesure où un DNS privé n'est disponible que sur un réseau privé, ce serveur DNS peut résoudre des domaines qui ne sont valides que sur le réseau. Vous pouvez, par exemple, résoudre "greatplains.accounting.int" sur le serveur principal de l'entreprise ERP. De même, vous pouvez donner à la machine de chacun un nom de domaine, comme brandon.smith.laptop, et avoir la synchronisation du serveur DNS avec DHCP pour maintenir les adresses IP à jour (ce n'est pas une bonne idée si les adresses IP changent souvent, car les machines locales mettront en cache les demandes et réponses DNS qui ne sont plus valides)
• De même, le DNS peut être utilisé comme liste noire d'un pauvre. Tout domaine auquel vous ne voulez pas que les gens de votre réseau naviguent (sites pornographiques, sites de logiciels malveillants connus, autres non-travail) puisse être répertorié dans votre DNS privé, en le redirigeant vers une page interne leur disant "arrêtez de visser et recommencez à travailler". Il existe de meilleurs outils pour cela, tels que des analyseurs de trafic, et il existe toujours des moyens de le contourner, mais cela fonctionne.
• Un niveau approximatif d'équilibrage de charge peut également être effectué en pointant différents clients vers différents serveurs DNS internes qui les achemineront vers différentes adresses IP de point de terminaison de service. Encore une fois, de meilleurs outils sont disponibles, mais cela fonctionne.
• Un serveur DNS privé vous permet de contrôler en temps réel le serveur DNS parent faisant autorité de votre réseau (celui qui sait résoudre toute adresse que votre propre serveur ne peut pas). Si votre FAI appelle et dit "notre DNS a été piraté, utilisez-le à la place jusqu'à nouvel ordre", tout ce que vous avez à faire est de mettre à jour votre DNS privé pour désigner le nouveau comme votre parent faisant autorité, puis demandez à vos utilisateurs d'ouvrir un invite de commandes et tapez ipconfig /flushdns, plutôt que de modifier les paramètres DNS dans le contrôleur de domaine réseau (DHCP, stratégie de groupe) et d'exiger que tout le monde redémarre son ordinateur ou réachète ses informations d'adresse réseau.