Duas zonas DNS: uma para interno, outra para servidores DMZ, é possível?

2

Atualmente, trabalho em uma empresa que tem dois servidores DNS (ns1 e ns2) abertos à Internet na DMZ e hospeda duas zonas: company.org e company.net. Em ambas as zonas existem servidores na DMZ e na LAN interna, e a recursão está habilitada no servidor DNS.

Eu estava pensando em fazer isso: reconfigurar todos os servidores na DMZ para ter um FQDN de server.company.org e na LAN interna server.company.net. E, em seguida, ter um servidor DNS na DMZ com apenas a zona company.org e outro servidor DNS na LAN interna que hospeda apenas a zona company.net.

Isso é sensato ou existe uma solução melhor? Se estiver usando isso, qual recursão do servidor DNS deve ser ativada e desativada? E quanto ao encaminhamento?

Muito obrigado.

    
por raphaelmsx 21.06.2015 / 15:43

1 resposta

0

Você não definiu claramente suas metas, por isso, é difícil fornecer uma recomendação específica.

No entanto, para facilidade de gerenciamento e segurança, usar um domínio para serviços voltados para o público e outro para serviços internos é benéfico, embora não seja tecnicamente necessário.

Por exemplo, você pode colocar todos os serviços públicos em um domínio. Em seguida, use um provedor de serviços de DNS ou seu registrador para gerenciar os registros de DNS desse domínio. Isso permitirá que você pare de executar um servidor DNS na sua DMZ.

Internamente, você pode verificar quais serviços de DNS, se houver algum, são fornecidos pelo seu equipamento de rede. Alguns dispositivos de rede podem permitir que você gerencie o DNS diretamente no seu dispositivo.

Se não, considere um pequeno sistema VPS dedicado ao DNS interno. Você pode publicar seus próprios registros para ativos internos e, em seguida, configurar o sistema para lidar com a recursão e o armazenamento em cache do DNS. Desta forma, os IPs e domínios para ativos internos não são publicamente detectáveis.

Em seu servidor interno, você pode usar uma configuração de DNS de encaminhamento em cache que usa serviços como o OpenDNS ou o DNS do Google para a recursão. Esses serviços públicos de DNS incluem alguns recursos de segurança que a recursão de DNS não faz. Geralmente, essa é uma maneira fácil e barata de adicionar segurança adicional a um pequeno escritório ou rede de filial.

    
por 23.06.2015 / 16:22