Czy rekordy DNS są prywatnymi informacjami?

17

Zakładając, że chcesz utworzyć poddomenę, która wskazuje na prywatną lokalizację (być może lokalizację bazy danych lub adres IP komputera, na który nie chcesz, aby ludzie próbowali połączyć się z SSH), więc dodajesz rekord DNS o nazwie coś lubię to:

private-AGhR9xJPF4.example.com

Czy byłoby to „ukryte” dla wszystkich oprócz tych, którzy znają dokładny URI subdoman? A może jest jakiś sposób na „wylistowanie” wszystkich zarejestrowanych subdomen danej domeny?

domain-name-system security subdomain IQAndreas
źródło
Jeśli nie chcesz, aby było to znane lub odkryte, dlaczego miałbyś stworzyć dla niego rekord DNS?
joeqwerty
1
@joeqwerty Jeśli serwer używa dynamicznego adresu IP lub jeśli chcę później zmienić docelowy adres IP, chcę, aby wszystkie aplikacje łączące się z tym serwerem kontynuowały pracę bez modyfikacji.
IQAndreas
Jestem pewien, że odpowiedź na to pytanie jest gdzieś w innym pytaniu, ale nie mogłem tego znaleźć podczas wyszukiwania.
Andrew B,
15
Zauważ, że jest wielu złych facetów skanujących całą przestrzeń IP w poszukiwaniu komputerów, do których mogą SSH. Jeśli jest dostępny z publicznego Internetu, zachęcisz ludzi do bicia portu SSH.
pjc50
1
Prawdziwym rozwiązaniem twojego problemu jest zapora ogniowa i VPN.
josh3736

Odpowiedzi:

29

Czy istnieje jakiś rodzaj zapytania o „listę subdomen” dla DNS?

Nie ma zapytania do tego konkretnego celu, ale istnieje kilka metod pośrednich.

  • Nieinkrementalny transfer strefy ( AXFR). Większość operatorów serwerów blokuje transfery stref do określonych adresów IP, aby zapobiec szpiegowaniu stron niepowiązanych.
  • Jeśli włączona jest funkcja DNSSEC, NSECmożna użyć żądań iteracyjnych do przejścia do strefy . NSEC3został wdrożony w celu zwiększenia intensywności obliczeniowej chodzenia po strefie.

Istnieje również sztuczka, która pozwoli komuś wiedzieć, czy istnieje dowolna subdomena.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

W powyższym przykładzie wwwleży wewnątrz sub. Zapytanie o sub.example.com IN Anie zwróci sekcji ODPOWIEDŹ, ale kodem wyniku będzie NERROR zamiast NXDOMAIN, zdradzając istnienie rekordów w dalszej części drzewa. (tylko nie to, jak te rekordy się nazywają)

Czy należy kiedykolwiek powoływać się na poufność zapisów DNS?

Nie . Jedynym sposobem na niezawodne ukrycie danych przed klientem jest upewnienie się, że nigdy nie będzie w stanie uzyskać danych od samego początku. Załóżmy, że istnienie twoich rekordów DNS zostanie rozpowszechnione wśród każdego, kto ma do nich dostęp, albo ustnie, albo obserwując pakiety.

Jeśli próbujesz ukryć rekordy przed routowalnym klientem DNS, You're Doing It Wrong ™ . Upewnij się, że dane są narażone tylko na środowiska, które ich potrzebują. (tj. używaj prywatnych domen z prywatnymi adresami IP) Nawet jeśli masz taki podział, załóż, że wiedza o adresach IP i tak zostanie rozpowszechniona.

Bezpieczeństwo powinno koncentrować się na tym, co się stanie, gdy ktoś otrzyma adres IP, ponieważ tak się stanie.

Wiem, że lista powodów, dla których tajemnica adresu IP jest spełnieniem marzeń, mogłaby zostać rozszerzona. Skanowanie IP, inżynieria społeczna ... lista jest nieskończona i koncentruję się głównie na aspektach protokołu DNS tego pytania. Pod koniec dnia wszystko spada pod tym samym parasolem: ktoś dostanie twój adres IP .

Andrew B.
źródło
3

To zależy.

Odpowiedź Andrew B. jest natychmiastowa, gdy rejestrujesz subdomenę w publicznej strefie DNS, w której znajdują się również rekordy MX Twojej firmy i publiczna strona internetowa.

Większość firm miałaby wewnętrzny serwer DNS, niedostępny publicznie, w którym rejestrowałbyś nazwy hostów dla swoich ( tajnych ) hostów.

Zalecaną metodą jest zarejestrowanie dedykowanej domeny do użytku wewnętrznego lub alternatywnie utworzenie subdomeny w domenie podstawowej do użytku wewnętrznego.

Ale technicznie używasz również swojej domeny podstawowej, tworząc wewnętrzny widok w domenie, w którym w zależności od pochodzenia klienta DNS będzie widoczna alternatywna wersja strefy DNS.

HBruijn
źródło