Exposição do servidor DNS invisível oculta no escravo autoritativo voltado para o público

4

Em um layout de rede DNS mestre-mestre típico, há basicamente dois componentes:

  • Servidor DNS mestre oculto, pode estar por trás de um NAT ou firewall ou estar totalmente exposto
  • Servidores DNS não recursivos autoritativos do escravo

Arquivos de zona em servidores DNS escravos geralmente não têm (e não devem) ter informações para esse servidor DNS mestre oculto. Mas esses mesmos servidores DNS escravos exigem o uso de certas opções de DNS, como server , allow-update , allow-transfer e algumas ACLs.

No início, os requeridos server e allow-update parecem requerer uma lista de correspondência de endereços IP. Isso deixa o named.conf como a principal fonte dessas informações secretas (ou seja, o endereço IP do mestre oculto).

Essa exposição do endereço IP ao servidor DNS mestre oculto pode ser ainda mais limitada usando chaves e não usando nenhum endereço IP no arquivo named.conf ?

A principal resposta que estou procurando é se podemos ou não minimizar a exposição do mestre oculto no nível de seu arquivo de configuração, bem como nos bancos de dados de zona.

    
por Egbert S 19.10.2018 / 13:51

1 resposta

5

Zone files on slave DNS servers often do not (and should not) have information to this hidden master DNS server.

Eles podem ter registros A em seus arquivos de zona para apontar para esse servidor mestre de DNS oculto. O servidor é chamado de "oculto" não porque ninguém possa saber sobre ele, mas porque ele não está listado em lugar algum usando registros NS para que os clientes não possam consultá-los.

Editar: não faz sentido tentar evitar todas as referências a esse mestre oculto do seu arquivo de configuração. Uma vez que alguém tenha acesso a esse arquivo, ele supõe que ele tenha acesso ao seu servidor de qualquer maneira e então isso parece um problema maior do que saber o endereço IP do seu mestre oculto.

But these same slave DNS servers do require the use of certain DNS options like server, allow-update, allow-transfer, and some ACLs.

Os servidores DNS escravos realmente precisam saber sobre a existência do servidor DNS oculto. É possível definir masters usando apenas chaves e, em seguida, consultar as masters nas instruções allow-notify etc. Dessa forma, você não precisa especificar o endereço IP do servidor mestre oculto.

A declaração server tem esta aparência:

server <netprefix> {
   ...
};

Assim, requer o endereço IP do mestre oculto.

No entanto, parece que instruções como allow-update , allow-transfer etc requerem um address_match_list (documentação BIND 9.11.4-P1, p. 51):

(...) is a list of one or more ip_addr, ip_prefix, key_id, or acl_name elements, see section 6.1.

Assim, você pode inserir apenas chaves nesses comandos, excluindo o endereço IP do seu mestre oculto das partes da configuração.

    
por 19.10.2018 / 14:02