Consolidação do DNS, como atender à rede interna e à Internet

3

Atualmente, temos uma configuração a seguir. Temos dois controladores de domínio que também servem como servidores DNS, usados como resolvedores por clientes locais. Também temos servidores DNS autoritativos externos para a mesma zona DNS, apenas para manutenção no mundo externo. Isso leva a uma situação em que o mesmo registro deve ser inserido duas vezes em ambos os grupos de servidores.

Uma resolução óbvia é usar apenas servidores internos e eliminar o grupo de servidores externos. Nós usamos NAT e todos os servidores internos possuem endereços de intervalos privados, por exemplo. 192.168.1.0 Pedidos do mundo exterior são encaminhados para qualquer máquina que seja necessária.

A questão é como evitar o vazamento de endereços internos (que serão resolvidos para 192.168 ...) se os servidores DNS internos começarem a atender solicitações externas?

    
por Taras Chuhay 15.06.2009 / 14:09

3 respostas

4

Temos uma configuração semelhante, mas mantemos o DNS externo intencionalmente em servidores diferentes do DNS interno por motivos de segurança. Assim que você mover o DNS externo para o mesmo servidor que o seu interno, que também é o Active Directory, será necessário abrir um buraco para os resolvedores na mesma máquina que atende ao Active Directory interno. Se houver uma falha no serviço DNS (como ocorreu no passado), um invasor poderá comprometer sua máquina interna do Active Directory. Ao manter o DNS interno e externo em máquinas separadas, você não precisa abrir nada através do firewall para a caixa interna do DNS / Active Directory, mantendo-a muito mais segura.

    
por 15.06.2009 / 14:45
1

Ter uma zona intranet / internet duplicada é chamada de "split brain" e você delineou os prós / contras bem. Agora você deve escolher as vantagens e desvantagens. Sugestão; viver com atualizações duplicadas para os poucos registros que precisam estar na internet.

    
por 15.06.2009 / 14:13
0

A resposta depende em parte do firewall que você está usando, pois alguns firewalls cuidarão das traduções do DNS para você. Se você quer confiar em seu firewall para este grau é uma grande questão (pelo menos em minha mente). Também não está claro para mim se todos / a maioria dos firewalls oferecem esse recurso, o que significa que você pode ficar preso com o que tem, ou pelo menos um subconjunto de fornecedores depois de remover os servidores DNS externos.

De volta à sua configuração atual (e ao incômodo de fazer as coisas duas vezes), parece algo que pode ser facilmente automatizado.

Por fim, se depender de por que você está interessado em eliminar os servidores extras, convém considerar a terceirização do serviço de DNS externo.

    
por 15.06.2009 / 14:42