Czy nasze małe biuro powinno mieć wewnętrzne serwery DNS?

9

Zarządzam małym biurem (<50 osób). Zawsze mieliśmy wewnętrzne serwery DNS w biurze. Serwery DNS są dość proste, ale w przeszłości mieliśmy z nimi problemy. Mamy niektóre zasoby biurowe, które są dostępne tylko w biurze lub zewnętrznie przez VPN, a także niektóre zasoby biurowe z adresem publicznym i rejestrem. Zasoby te mają obecnie tę samą nazwę DNS, choć niekoniecznie jest to wymóg, a jest ich o wiele mniej niż kiedyś.

Posiadamy już również wewnętrzną przestrzeń nazw biura, więc możliwe jest, że mógłbym zapełnić mój publiczny DNS wszystkimi prywatnymi adresami IP wewnętrznych zasobów biurowych, które posiadamy, i po prostu przestać całkowicie używać wewnętrznego DNS.

Czy to dobry pomysł? Nigdy nie pracowałem w miejscu, które nie ma wewnętrznego biura DNS. Jakie są powody, dla których nadal powinniśmy to zachować? Kiedyś było to krytyczne, teraz jest nadal wygodne, ale problemy, na które natrafiliśmy, nie sprawiają już, że jest to wygodne.

Aktualne powody, aby zachować:

  • Split DNS pozwala nam używać tej samej nazwy hosta dla tych zasobów, które są hostowane wewnętrznie, ale także dostępne zewnętrznie
  • Mamy kilka domen testowych, których nie musieliśmy kupować, ale musielibyśmy, gdybyśmy się ich pozbyli
  • ??? to jest znajome i pocieszające?

Powody, aby się go pozbyć:

  • Obecnie brak obsługi IPv6
  • Miałem kilka problemów z podziałem DNS, głównie z konfiguracją VPN
  • Konserwacja na serwerze, która może być niepotrzebna
internal-dns Aaron R.
źródło
myślę, że musisz wziąć pod uwagę także inne rzeczy, takie jak liczba posiadanych serwerów i stabilność połączenia internetowego. jeśli polegasz na zewnętrznym serwerze DNS, co się stanie, jeśli stracisz połączenie internetowe na długi czas? (kiedy żadna informacja nie jest już buforowana) oznacza to, że nikt z twoich serwerów nie będzie mógł się również komunikować razem, a zatem wszystkie usługi będą niedostępne. premią jest posiadanie lokalnego serwera DNS przynajmniej do buforowania i wykonywania lokalnych rozdzielczości.
olivierg
1
Głównym powodem posiadania wewnętrznych serwerów DNS, przynajmniej w sieci Windows, jest obsługa Active Directory i domeny Windows. Jeśli prowadzisz domenę, nie możesz pozbyć się zintegrowanego DNS AD. A przynajmniej nie powinieneś.
Appleoddity,
Mamy wewnętrzny serwer LDAP, a nie AD. DNS nie jest w to zintegrowany, choć zastanawiam się, czy ma on jakąkolwiek współzależność.
Aaron R.
powinien mieć pewne wymagania dns, jeśli istnieje wiele serwerów LDAP, AD używa SRVrekordów do wykrywania usług, podobnie Dir389.
Jacob Evans
Ciekawe, dobrze wiedzieć. Chociaż nie jestem pewien, czy i tak musiałoby być wewnętrzne; wydaje mi się, że moglibyśmy do tego użyć publicznego DNS.
Aaron R.

Odpowiedzi:

5

Czytanie z twoich komentarzy ...

Chciałbym w 100% zachować DNS. Chciałbym również rozszerzyć twoją implementację LDAP na AD. 50 osób jest zdecydowanie wystarczająco duża; Wdrożyłbym DNS dla> 10 użytkowników, jeśli są oni nietechniczni i mają wiele wewnętrznych zasobów, do których potrzebują dostępu.

W odniesieniu do wad:

  • Obecnie brak obsługi IPv6

Z jakiej platformy korzystasz? Istnieje wiele platform z obsługą IPv6 - mianowicie OpenDNS

  • Konfiguracja VPN powoduje problemy

Żadne przestępstwo nie jest zamierzone, ale może powinieneś dowiedzieć się, dlaczego konfiguracje VPN łamią DNS i rozwiązać ten problem? To lepsze niż obejście bandażujące „Nie, wewnętrzny DNS jest zbyt skomplikowany, by pracować z VPN!”.

  • utrzymanie

Automatyzuj, automatyzuj, automatyzuj - nie powinno to być zbyt trudne, pod warunkiem, że podchodzisz mądrze do wpisów DNS i zarządzania systemem jako całością. DNS nie powinien być radykalnie zmieniany (przynajmniej nie często).

kilrainebc
źródło
1
Tylko około jedna trzecia biura korzysta z systemu Windows, więc tak naprawdę nie jestem zainteresowany dodaniem większej infrastruktury do wdrożenia kontrolera domeny. Obecnie używam Bind, który z pewnością obsługuje IPv6, ale nie został włączony i zajęłoby to trochę czasu i wysiłku z mojej strony; to naprawdę główny nacisk; Czy narażam się na ryzyko usunięcia tego zasobu i korzystania wyłącznie z publicznego DNS, czy zamierzam później wykonać więcej pracy z powodu jakiejś przyszłej funkcji biurowej, która wymaga DNS itp.
Aaron R.
Przepraszamy - założono, że wszyscy byli na urządzeniu z systemem Windows (chociaż AD działa dobrze z Linuksem i wydaje mi się, że istnieją również dojrzałe opcje dla OS X). Są to decyzje projektowe, które należy wziąć pod uwagę i podjąć działania. Jeśli uważasz, że specyfikacje dotyczące wzrostu i przyszłości. Może trzeba bardziej kontrolowany domeny z wewnętrznego serwera DNS dla zasobów wewnętrznych - a następnie zachować go dookoła, albo w samym minimum to gotowy do startu, jeśli uważasz, że może go potrzebować. W przeciwnym razie jesteś kapitanem własnej łodzi - wiesz? Tego rodzaju rzeczy są zawsze kompromisem między wysiłkiem a oczekiwaną nagrodą (nagrodami). Powodzenia! :)
kilrainebc
4

Zachowaj wewnętrzny DNS, jeśli to konieczne, uczyń go redundantnym.

  • DNS SplitBrain to bałagan, ale zwykle masz (dużo) więcej wewnętrznych zapisów niż zewnętrznych. Dodatkowo możesz podzielić swój ruch: wewnętrzny korzysta z wewnętrznych adresów IP, zewnętrznie korzysta z zewnętrznych.
  • AD polega w 100% na DNS
  • Nie jesteś uzależniony od DNS usługodawców internetowych, ponieważ Twój DNS będzie mógł korzystać z rekurencji.
  • Nie chcesz, aby wszyscy mogli wyszukiwać twoje wewnętrzne zasoby
  • Nie chcesz udostępniać wewnętrznych zasobów swojemu (DNS-) ISP

Nie potrzebujesz własnego DNS, gdy wszyscy korzystają z Internetu i nie musisz zarządzać własnymi serwerami. VPN brzmi dla mnie jak usługi wewnętrzne, jst kepp je wewnętrznie.

  • Obecnie brak obsługi IPv6

Są jeszcze serwery DNS bez wersji 6? Bądź na bieżąco tutaj.

  • Miałem kilka problemów z podziałem DNS, głównie z konfiguracją VPN

Problemy z konfiguracją nie znikną wraz z odejściem usługi. Nadal będziesz musiał poprawnie skonfigurować VPN, w tym teraz zasady przełamywania zewnętrznego ruchu DNS.

  • Konserwacja na serwerze, która może być niepotrzebna

DNS jest zwykle mały i nie wymaga własnego pudełka. Wystarczy skonfigurować jeden na jednym z niezawodnych serwerów (np. Plik lub poczta).

bjoster
źródło
1
Przywołujesz jedno z prawdziwych pytań, które miałem, być może takie, które byłoby lepsze jako nowe pytanie, ale czy mógłbyś wyjaśnić więcej, co masz na myśli, mówiąc: „Nie chcesz, aby wszyscy mogli szukać twoich wewnętrznych zasobów. „ Dodawanie prywatnych adresów IP w publicznym DNS jest rzadkie, ale czy jest z tym coś naprawdę nie tak? Dlaczego miałoby mnie obchodzić, czy hakerzy mogą wyszukiwać prywatne adresy IP mojej firmy? Nadal nie można ich routować.
Aaron R.
3
Nie chcesz dać hakerowi żadnych wskazówek na temat wewnętrznej sieci w przypadku naruszenia bezpieczeństwa. Wyciek z twojego wewnętrznego DNS daje wskazówki na temat wewnętrznej struktury sieci, możliwych soczystych celów („Aha!” HRserver jest na 192.168.99.72! Dzięki! Mogę iść prosto na to ”) itp.
Brandon Xavier
1
Czy to naprawdę niepokój? Wiem, że w środowisku zawodowym panuje ogólne przekonanie, że lepiej chronić każdy możliwy fragment informacji, ale nie jestem pewien, jak ważne jest to. Można zapytać o wszystkie nasze niepubliczne DNS, a oni otrzymają te dane w ciągu 10 minut. Więc może oszczędzamy 10 minut czasu hakowania? Nie wydaje mi się to zbyt cenne.
Aaron R.
Twój niepubliczny DNS nie powinien być otwarty na zapytania .... Stąd „niepubliczny” ...
kilrainebc
2
Technicznie Państwo mogą umieścić swoje intymne w miejscu publicznym, ale technicznie można również nosić bez spodni w miejscu publicznym (lub po prostu w tej pracy). Dlatego jest to możliwe , nikt nie chce, abyś to zrobił, a więc żaden profesjonalny informatyk nie zrobiłby tego.
bjoster,