Je me demandais pourquoi une entreprise devrait utiliser un DNS privé.
Par rapport à un DNS public, quels sont les avantages d'un DNS privé et quels problèmes un DNS public peut-il créer pour une entreprise?
Je suis nouveau dans ces concepts de sécurité des réseaux, donc c'est peut-être une question très fondamentale.
Le DNS est un sujet très large, même lorsque vous le réduisez pour avoir un objectif de sécurité, mais j'essaierai d'aborder cela d'une manière qui vous paraîtra la plus logique. Si vous cherchez une introduction de très haut niveau au DNS, je suggère this . Pour un peu plus de détails, vérifiez ceci .
Tout d'abord, vous voudrez peut-être savoir que DNS privé vs DNS public peut être interprété comme signifiant plusieurs choses. La première chose à laquelle j'ai pensé était DNS à horizon partagé , où vous utilisez le même nom DNS pour interne et externe, mais fournissez des informations différentes selon la source de la requête DNS. Il existe cependant d'autres options, telles que le choix d'utiliser des noms complètement différents en interne et en externe (tels que example.com publiquement et example.local en privé). J'ai vu les deux implémentés dans des entreprises, mais avoir des serveurs DNS et des espaces de noms complètement séparés internes et externes est préférable d'un point de vue de la sécurité.
Vous souhaiterez généralement conserver vos adresses RFC1918 uniquement dans votre DNS privé, ainsi que vos adresses privées accessibles sur Internet. C'est moins important avec IPv4, mais avec IPv6, avoir des adresses IP accessibles sur Internet est beaucoup plus répandu (bien que pas nécessaire ).
Essentiellement, cela se résume au fait que vous voudriez une infrastructure DNS privée afin de servir les employés, de sorte qu'ils n'aient pas besoin de mémoriser les IP (ou VIP ) de chaque service. Vous ne voudriez pas que ces entrées DNS soient disponibles sur Internet car elles pourraient être utilisées pour énumération ou découverte (voir la section 2.6), entre autres raisons. On dit que la sécurité d'un système se résume à quelques concepts de base , et vous devez garder à l'esprit que, si vous publiez certaines informations, si cela permet à quiconque de compromettre la triade CIA.
Il existe également l'option d'une infrastructure DNS extranet , qui serait destinée aux entreprises partenaires ou aux entreprises avec lesquelles vous faites régulièrement affaire.
Enfin, le DNS public est fourni en tant que service à vos clients, encore une fois, afin qu'ils puissent contacter tout ce que vous fournissez. Voici quelques concepts de sécurité à garder à l'esprit avec DNS:
Il y a beaucoup, beaucoup plus de types d'attaques lors de la discussion sur DNS, mais je pense que les précédents sont un bon point de départ. Si vous êtes intéressé par la sécurité DNS, je voudrais également vous signaler cet article , et aussi DNSSEC .
Notez qu'avoir un serveur DNS public ne signifie pas qu'il connaît tous les noms de domaine du réseau. DNS par conception ne signifie pas que vous disposez d'une copie faisant autorité de toutes les zones, mais utilise s un système de dénomination hiérarchique.
Les serveurs DNS publics et privés sont divisés pour des raisons de sécurité et de confidentialité. Si vous publiez tous vos noms de domaine internes (utilisés par exemple par votre domaine Active Directory), vous pouvez par inadvertance publier les adresses IP locales de ces machines. Bien que cela ne signifie pas que les hôtes externes peuvent accéder à ces machines, cela laisse fuir des informations précieuses pour un attaquant.
Par conséquent, vous avez la possibilité d'avoir un serveur DNS distinct pour vos domaines publics, ce serveur DNS ne sait rien du domaine interne et ne peut donc pas annoncer les noms de domaine utilisés en interne. Tout le monde peut interroger votre serveur DNS public. Sois sûr que:
Vous exécutez ensuite également un serveur DNS privé (qui ne doit être accessible qu'à partir des adresses IP internes et qui ne doit répondre qu'aux adresses IP internes). Ce serveur DNS contient des informations sur vos domaines internes. Celui-ci peut être configuré récursif afin qu'il puisse également résoudre les domaines pour lesquels il ne fait pas autorité. Assure-toi:
Il y a aussi l'option DNS à horizon partagé
Dans les réseaux informatiques, le DNS à horizon fractionné, le DNS à vue fractionnée ou le DNS fractionné est la facilité d'une implémentation du système de noms de domaine (DNS) pour fournir différents ensembles d'informations DNS, sélectionnés par, généralement, l'adresse source de la demande DNS. Cette fonction peut fournir un mécanisme de gestion de la sécurité et de la confidentialité par une séparation logique ou physique des informations DNS pour un accès interne au réseau (dans un domaine administratif, par exemple, une entreprise) et un accès à partir d'un réseau public non sécurisé (par exemple Internet). La mise en œuvre du DNS à horizon fractionné peut être réalisée avec une séparation matérielle ou par des solutions logicielles. Les implémentations basées sur le matériel exécutent des périphériques de serveur DNS distincts pour la granularité d'accès souhaitée au sein des réseaux impliqués. Les solutions logicielles utilisent plusieurs processus de serveur DNS sur le même matériel ou un logiciel serveur spécial avec la capacité intégrée de discriminer l'accès aux enregistrements de zone DNS. Ce dernier est une caractéristique commune à de nombreuses implémentations de logiciels de serveur du protocole DNS (cf. Comparaison des logiciels de serveur DNS) et est parfois la signification implicite du terme DNS à horizon partagé, car toutes les autres formes de mise en œuvre peuvent être réalisées avec n'importe quel DNS. logiciel serveur.
Vous devriez également jeter un œil à DNSSEC
Les extensions de sécurité du système de noms de domaine (DNSSEC) sont une suite de spécifications IETF (Internet Engineering Task Force) permettant de sécuriser certains types d'informations fournies par le système de noms de domaine (DNS) telles qu'elles sont utilisées sur les réseaux IP (Internet Protocol). Il s'agit d'un ensemble d'extensions DNS qui fournissent aux clients DNS (résolveurs) l'authentification d'origine des données DNS, le déni d'existence authentifié et l'intégrité des données, mais pas la disponibilité ni la confidentialité.
Je vous suggère de prendre votre temps pour vous familiariser avec tous ces protocoles.
Eh bien, si vous enregistrez vos ordinateurs avec votre serveur DNS, vous ne voulez probablement pas que quiconque sur Internet puisse demander à quelle adresse se trouve l'ordinateur portable de votre PDG. De même, vous ne voulez pas rendre publics les serveurs de développement, les serveurs de services non annoncés, etc.
En ce qui concerne l'interrogation des serveurs DNS pour les adresses publiques d'autres sites, vous pouvez peut-être rediriger certaines de ces demandes de site via un proxy, ou peut-être vous voulez rediriger vos utilisateurs loin des sites malveillants. Vous souhaitez peut-être simplement réduire la quantité de trafic DNS entre votre réseau et Internet, ou vous assurer que tous vos utilisateurs utilisent de bons serveurs DNS connus. Ne pas laisser DNS sortir sur Internet, sauf à partir des serveurs DNS désignés, signifie que les machines de vos utilisateurs n'interrogent pas les serveurs DNS inconnus et potentiellement piratés pour chaque recherche.
Un serveur DNS privé présente plusieurs avantages pour un administrateur système:
ipconfig /flushdns
, plutôt que de modifier les paramètres DNS dans le contrôleur de domaine réseau (DHCP, stratégie de groupe) et d'exiger que tout le monde redémarre son ordinateur ou réachète ses informations d'adresse réseau.