82 votes

Geoff Dalgas avatar

Adresse IP privée dans le DNS public

Demandé el 5 de Mai, 2009
Quand la question a-t-elle été
95875 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un serveur de messagerie uniquement SMTP derrière un pare-feu qui aura un enregistrement A public de la messagerie. . Le seul moyen d'accéder à ce serveur de messagerie est de passer par un autre serveur situé derrière le même pare-feu. Nous ne gérons pas notre propre serveur DNS privé.

Est-ce une bonne idée d'utiliser l'adresse IP privée comme un enregistrement A dans un serveur DNS public - ou est-il préférable de conserver ces enregistrements dans le fichier hosts local de chaque serveur ?

Demandé el 5 de Mai, 2009 par Geoff Dalgas

Réponses

Trop de publicités?

91voto

daughtkom avatar
daughtkom Points 946

Certains diront que les enregistrements DNS publics ne devraient jamais divulguer les adresses IP privées...., l'idée étant que vous donnez aux attaquants potentiels une longueur d'avance sur certaines informations qui pourraient être nécessaires pour exploiter des systèmes privés.

Personnellement, je pense que l'obscurcissement est une mauvaise forme de sécurité, surtout lorsqu'il s'agit d'adresses IP car, en général, elles sont faciles à deviner de toute façon, donc je ne vois pas cela comme un compromis de sécurité réaliste.

Le plus important ici est de s'assurer que vos utilisateurs publics ne récupèrent pas cet enregistrement DNS comme faisant partie des services publics normaux de votre application hébergée, c'est-à-dire que les recherches DNS externes commencent en quelque sorte à se résoudre à une adresse qu'ils ne peuvent pas atteindre.

En dehors de cela, je ne vois pas de raison fondamentale pour laquelle le fait de mettre des enregistrements A d'adresses privées dans l'espace public pose un problème.... surtout lorsque vous n'avez pas de serveur DNS alternatif pour les héberger.

Si vous décidez de mettre cet enregistrement dans l'espace DNS public, vous pouvez envisager de créer une zone séparée sur le même serveur pour contenir tous les enregistrements "privés". Cela rendra plus clair le fait qu'ils sont destinés à être privés....mais pour un seul enregistrement A, je n'en prendrais probablement pas la peine.

Répondu el 5 de Mai, 2009 par daughtkom (946 Points )

44voto

Ryan Sampson avatar
Ryan Sampson Points 2898

J'ai eu une longue discussion sur ce sujet sur la liste NANOG il y a quelque temps. Bien que j'aie toujours pensé que c'était une mauvaise idée, il s'avère que ce n'est pas une si mauvaise idée en pratique. Les difficultés proviennent principalement des recherches rDNS (qui pour les adresses privées ne fonctionnent pas dans le monde extérieur), et lorsque vous fournissez l'accès aux adresses par un VPN ou similaire, il est important de s'assurer que les clients VPN sont correctement protégés contre les "fuites" de trafic lorsque le VPN est en panne.

Je dis allez-y. Si un attaquant peut tirer quelque chose de significatif de la capacité à résoudre des noms en adresses internes, vous avez de plus gros problèmes de sécurité.

Répondu el 5 de Mai, 2009 par Ryan Sampson (2898 Points )

8voto

Curt Hagenlocher avatar
Curt Hagenlocher Points 12432

En général, l'introduction des adresses RFC1918 dans le DNS public entraînera une confusion, voire un réel problème, à un moment donné dans le futur. Utilisez les IP, les enregistrements d'hôtes ou une vue DNS privée de votre zone pour utiliser les adresses RFC1918 derrière votre pare-feu mais sans les inclure dans la vue publique.

Pour clarifier ma réponse sur la base de l'autre réponse soumise, je pense que l'introduction des adresses RFC1918 dans le DNS public est un faux pas, et non un problème de sécurité. Si quelqu'un m'appelle pour résoudre un problème et que je tombe sur des adresses RFC1918 dans son DNS, je commence à parler très lentement et à lui demander s'il a redémarré récemment. C'est peut-être du snobisme de ma part, je ne sais pas. Mais comme je l'ai dit, ce n'est pas une chose nécessaire à faire et cela risque de provoquer une confusion et une mauvaise communication (humaine, pas informatique) à un moment donné. Pourquoi prendre ce risque ?

Répondu el 5 de Mai, 2009 par Curt Hagenlocher (12432 Points )

3voto

jammus avatar
jammus Points 1796

Bien que la possibilité soit faible, je pense que vous vous exposez à une attaque MITM.

Ma préoccupation est la suivante. Supposons que l'un de vos utilisateurs, dont le client de messagerie est configuré pour pointer vers ce serveur de messagerie, emmène son ordinateur portable sur un autre réseau. Que se passe-t-il si cet autre réseau a également la même RFC1918 en service. Cet ordinateur portable peut tenter de se connecter au serveur smtp et offrir les informations d'identification de l'utilisateur à un serveur qui ne devrait pas les avoir. Ceci est d'autant plus vrai que vous avez parlé de SMTP et que vous n'avez pas mentionné que vous aviez besoin de SSL.

Répondu el 5 de Mai, 2009 par jammus (1796 Points )

3voto

Dave Cheney avatar
Dave Cheney Points 18132

Vos deux options sont /etc/hosts et mettre une adresse IP privée dans votre zone publique. Je recommande la première option. Si cela représente un grand nombre d'hôtes, vous devriez envisager de faire tourner votre propre résolveur en interne, ce n'est pas si difficile.

Répondu el 5 de Mai, 2009 par Dave Cheney (18132 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X