DNS kayıtları özel bilgiler mi?

17

Özel bir konuma işaret eden bir alt alan adı oluşturmak istediğinizi varsayarsak (belki bir veritabanının konumu ya da insanların SSH-in girişiminde bulunmasını istemediğiniz bir bilgisayarın IP adresi), bu nedenle bir şey adlı bir DNS kaydı eklersiniz bunun gibi:

private-AGhR9xJPF4.example.com

Bu, subdomanın tam URI'sini bilenler dışındaki herkese "gizli" olur mu? Veya belirli bir alan adının tüm kayıtlı alt alan adlarını "listelemenin" bir yolu var mı?

domain-name-system  security  subdomain 
IQAndreas
kaynak
Bilinmesini veya keşfedilmesini istemiyorsanız, neden öncelikle bir DNS kaydı oluşturacaksınız?
joeqwerty
1
@joeqwerty Sunucu dinamik bir IP kullanıyorsa veya hedef IP'yi daha sonra değiştirmek istiyorsam, o sunucuya bağlanan tüm uygulamaların değiştirilmeden çalışmaya devam etmesini istiyorum.
IQAndreas
Eminim bu bir yerde başka bir soruda cevaplandı, ama bir arama ile bulamadım.
Andrew B
15
SSH'ye girebilecekleri bilgisayarlar için tüm IP alanını tarayan çok sayıda kötü adam olduğunu unutmayın. Eğer halka açık internetten ulaşılabilirse, insanları SSH portuna vuracaksınız.
pjc50
1
Sorununuzun gerçek çözümü bir güvenlik duvarı ve VPN'dir.
josh3736

Yanıtlar:

29

DNS için bir tür "alt alan adı listesi" sorgusu var mı?

Bu özel amaç için sorgu yoktur, ancak birkaç dolaylı yöntem vardır.

  • Artımlı olmayan bölge transferi ( AXFR). Çoğu sunucu operatörü, bağlı olmayan tarafların göz ardı etmesini önlemek için bölge aktarımlarını belirli IP adreslerine kilitler.
  • DNSSEC etkinse, bölgeyi yürümek için yinelemeli NSECistekler kullanılabilir . bölge yürüyüşünü daha hesaplama açısından yoğunlaştırmak için uygulandı.NSEC3

Ayrıca, rastgele bir alt alan olup olmadığını bildiren bir numara da vardır.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

Yukarıdaki örnekte, wwwiçinde yatıyor sub. İçin bir sorgu sub.example.com IN Abir YANIT bölümü döndürmez, ancak sonuç kodu ağacın aşağısında kayıtların varlığına ihanet ederek NXDOMAIN yerine NOERROR olur. (bu kayıtların adı değil)

DNS kayıtlarının gizliliğine güvenilmeli mi?

Hayır . Bir istemciden verileri güvenilir bir şekilde gizlemenin tek yolu, verilerin asla başlayamayacağından emin olmaktır. DNS kayıtlarınızın varlığının, sözlü ya da paketleri gözlemleyerek bunlara erişimi olanlar arasında yayılacağını varsayın.

Yönlendirilebilir bir DNS istemcisinden kayıtları gizlemeye çalışıyorsanız, Yanlış Yapıyorsunuz ™ . Verilerin yalnızca ihtiyaç duyulan ortamlara maruz kaldığından emin olun. (örn. özel IP'ler için özel olarak yönlendirilmiş alan adlarını kullanın) Böyle bir bölüm oluşturmuş olsanız bile, IP adresleri bilgisinin zaten yayıldığını varsayın.

Güvenliğe odaklanmak, birisi IP adresini aldığında ne olacağına odaklanmalıdır, çünkü bu gerçekleşecektir.

IP adresi gizliliğinin gizli bir rüya olmasının nedenlerinin listesinin daha da genişletilebileceğinin farkındayım. IP taraması, sosyal mühendislik ... liste sınırsız ve çoğunlukla bu sorunun DNS protokolü yönlerine odaklanıyorum. Günün sonunda hepsi aynı şemsiyenin altına düşüyor: birisi IP adresinizi alacak .

Andrew B
kaynak
3

Değişir.

Andrew B'nin cevabı, şirketinizin MX kayıtlarını ve örneğin genel web sitesini de barındıran genel DNS bölgesine kaydolduğunuzda açıktır.

Çoğu şirketin dahili ( gizli ) ana makineleriniz için ana bilgisayar adlarını kaydettireceğiniz genel kullanıma açık olmayan bir dahili DNS sunucusu olacaktır .

Önerilen yöntem, dahili kullanım için özel bir alan adı kaydettirmek veya alternatif olarak dahili kullanım için birincil alan adınızda bir alt alan oluşturmaktır.

Ancak teknik olarak birincil alanınızı, alan adınızda dahili bir görünüm oluşturarak da kullanırsınız; burada DNS istemcisinin kaynağına bağlı olarak DNS bölgesinin alternatif bir sürümü görünür olur.

HBruijn
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.