A indicação *. [int] .mydomain.com para 192.168.1. [int] constitui uma ameaça à segurança

2

Para fins de teste, descobri que é realmente útil apontar o que for.machineIP.mydomain.com para 192.168.1.machineIP: dessa forma, podemos testar o código um do outro sem mexer nos arquivos de hosts.

Estou ciente de que isso identifica nossos endereços IP locais para o mundo externo, mas se alguém puder acessar a rede, será trivial verificar qual dos endereços IP locais responde à porta 80 de qualquer maneira.

Existe alguma coisa que eu não esteja vendo?

Acredite na ideia: link

    
por Dave 09.04.2010 / 19:09

2 respostas

2

Quanto menos você expor ao mundo exterior, melhor. Você nunca sabe quando uma informação será útil para o intruso em potencial. O diabo é, como sempre, nos detalhes.

Dependendo da sua configuração, pode ser bastante fácil usar dns de horizonte dividido e expor .int. apenas para a rede interna, atenuando esse risco. Se você alguma vez fizer uma auditoria de segurança, isso certamente será esfregado na sua cara. Essa é uma escolha fácil, pois é difícil argumentar que essa não é uma exposição desnecessária de informações.

Além disso, prossiga, se você fez sua lição de casa corretamente em outros campos (firewalls rígidos, DMZs, políticas de uso sólidas e aplicáveis), não deve haver muito dano em expor alguns IPs RFC-1918.

    
por 09.04.2010 / 19:22
2

Eu faço isso com o nosso servidor DNS interno. Temos um servidor DNS que só atende a pedidos para clientes dentro de nosso escritório, eu adicionei algumas zonas extras e disse a ele que ele é a autoridade para eles. Assim, vários nomes resolvem automaticamente para IPs internos, mas não serão resolvidos para ninguém fora de nosso escritório que não possa usar nosso servidor DNS interno. Não há necessidade de qualquer coisa complicada no 'horizonte dividido'.

    
por 09.04.2010 / 20:12