O DNS registra informações particulares?

Navegue suas respostas
16

Supondo que você queria criar um subdomínio que aponta para um local privado (talvez o local de um banco de dados ou o endereço IP de um computador no qual você não deseja que as pessoas tentem usar o SSH), adicione um DNS registro chamado algo como isto: 

private-AGhR9xJPF4.example.com

Isso seria "oculto" para todos, exceto para aqueles que conhecem o URI exato para o subdoman? Ou existe alguma maneira de "listar" todos os subdomínios registrados de um determinado domínio?

    
por IQAndreas 03.03.2014 / 06:30

2 respostas

29

Existe algum tipo de consulta "lista de subdomínios" para o DNS?

Não há consulta para essa finalidade específica, mas existem alguns métodos indiretos.

  • Uma transferência de zona não incremental ( AXFR ). A maioria dos operadores de servidor bloqueia as transferências de zona para endereços IP específicos para evitar que partes não afiliadas bisbilhotem.
  • Se o DNSSEC estiver ativado, as solicitações NSEC iterativas podem ser usadas para percorrer a zona . NSEC3 foi implementado para tornar o zoneamento da zona mais intensivo em termos computacionais.

Há também um truque que permite que alguém saiba se existe um subdomínio arbitrário. 

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

No exemplo acima, www está dentro de sub . Uma consulta para sub.example.com IN A não retornará uma seção ANSWER, mas o código de resultado será NOERROR em vez de NXDOMAIN, traindo a existência de registros mais abaixo na árvore. (apenas não o que esses registros são nomeados)

O sigilo dos registros DNS deve ser invocado?

Não. A única maneira de ocultar dados de forma confiável a partir de um cliente é garantir que ele nunca consiga obter os dados para começar. Suponha que a existência de seus registros DNS seja distribuída entre quem tiver acesso a eles, seja de boca em boca ou observando os pacotes.

Se você estiver tentando ocultar registros de um cliente DNS roteável, Você está fazendo errado . Certifique-se de que os dados estejam expostos apenas aos ambientes que precisam deles. (por exemplo, usar domínios roteados de forma privada para IPs privados) Mesmo que você tenha essa divisão configurada, suponha que o conhecimento dos endereços IP seja distribuído de qualquer maneira.

O foco na segurança deve estar no que acontece quando alguém recebe o endereço IP, porque isso vai acontecer.

Estou ciente de que a lista de motivos para o sigilo do endereço IP ser um sonho real pode ser ampliada ainda mais. Varredura de IP, engenharia social ... a lista é interminável, e estou focando principalmente nos aspectos do protocolo DNS dessa questão. No final do dia, tudo cai sob o mesmo guarda-chuva: alguém vai obter o seu endereço IP .

    
por 03.03.2014 / 07:15
3

Depende.

A resposta de Andrew B está correta, quando você registra o subdomínio na zona DNS pública, que também hospeda os registros MX de suas empresas e o site público, por exemplo.

A maioria das empresas teria um servidor DNS interno, não publicamente disponível, onde você registraria os nomes de host para seus hosts internos ( secret ).

O método recomendado é registrar um domínio dedicado para uso interno ou, como alternativa, criar um subdomínio em seu domínio principal para uso interno.

Mas, tecnicamente, você também usa seu domínio principal criando uma visualização interna em seu domínio, onde, dependendo da origem do cliente DNS, uma versão alternativa da zona DNS ficará visível.

    
por 03.03.2014 / 07:57

Tags

Como testar uma conexão sem telnet? [fechadas] Como posso prefixar o PATH enquanto executo o módulo pip do Ansible?