Quão sensível é comunicar registros DNS?

5

Estou tendo problemas para configurar meu DNS e gostaria de enviar uma captura de tela das minhas configurações de DNS para uma central de suporte. Agora eu me pergunto o quão sensível é esse dado DNS. Todos os registros são públicos? Ou devo ter cuidado com quem entrego esta informação?

    
por bart 25.01.2012 / 05:10

2 respostas

5

Todos os registros são públicos se você torná-los públicos - o servidor está acessível publicamente? Se você consultar os registros do seu computador de casa, você pode obter uma resposta para os registros do domínio?

O outro aspecto disso é que enumeração dos registros geralmente não é possível para o público - então, mesmo que alguém saiba que você tem www.example.com , não significa que eles saibam sobre o nome supersecret.example.com , ou para qual endereço IP ele aponta. Uma AXFR zone transfer é o tipo de solicitação DNS que forneceria uma lista completa de tudo na zona, e os servidores DNS públicos geralmente impedem que essas consultas sejam respondidas.

Uma lista completa da zona pode potencialmente fornecer informações interessantes para um invasor - mas se for uma zona pública sem entradas "ocultas", você não estará expondo algo que alguém não consegue acessar com uma Internet conexão e cliente DNS.

    
por 25.01.2012 / 05:20
3
Em geral, é razoavelmente fácil descobrir qual é o intervalo de IPs de um site e, em seguida, reverter para o que significa um despejo de zona completo. Portanto, se esses dados de zona estiverem disponíveis externamente, provavelmente não será um grande problema. Coisas internas são talvez mais sensíveis.

Mas, na verdade, eles só precisam saber o formato geral, eu esperava, então, se você estiver preocupado, redigite os nomes reais para algo com o qual se sinta confortável:

IN MX 10 mailserver.yourdomain.com

pode se tornar

IN MX 10 mail.example.com

ou similar.

Além disso, a menos que os problemas girem em torno de registros específicos, você provavelmente poderá truncar seus arquivos de zona consideravelmente, desde que eles tenham todos os tipos de registro relevantes, SOA, valores, etc.

    
por 25.01.2012 / 05:16