Os riscos de segurança de usar o DNS do Google para resolver nomes em uma rede privada (192.168.x.x)?

1

Existe algum risco conhecido associado ao uso de um DNS público versus um DNS que nós ou nossos parceiros controlam? Nossa solução envolve alguns dispositivos incorporados, portanto, usar o DNS do Google nos ofereceria um grau de portabilidade quando implantamos em vários locais, ou seja, contanto que tenhamos uma conexão de internet válida, normalmente conseguiremos atingir o DNS do Google (nem sempre verdadeiro mas usualmente).

Como não sou especialista em como o DNS funciona, o cenário que imagino é algo como

a) Nosso roteador (ou outro dispositivo que atua como um servidor DHCP) atribui um endereço na rede privada via e envia um novo registro para o DNS.

b) Alguém mais 'seqüestra' esse registro e o aponta para outra coisa fora do nosso NW privado.

c) Da próxima vez que algo na nossa rede privada tentar resolver o nome de uma máquina na rede privada, ela será redirecionada para um servidor malicioso.

Esse tipo de ataque é possível? Como o servidor DNS estabelece que as atualizações do nosso domínio são realmente do nosso domínio? Eu entendo que existem práticas recomendadas para executar um servidor DNS em si, mas existem práticas recomendadas equivalentes que você deve seguir como cliente?

Observação: não estou preocupado com o que o Google poderá aprender (eles não aprenderão muito, pois só estaremos acessando nossos próprios serviços e coisas como o Windows Update, o Azure, etc.). Estou mais preocupado com o fato de que, ao usar um serviço público, estaríamos ativando algo malicioso por terceiros.

    
por Thingus 06.10.2014 / 13:11

1 resposta

1

O ataque que você está pensando geralmente é o envenenamento de cache, em que um invasor pode forçar um servidor a salvar informações incorretas e redirecionar o tráfego legítimo para um servidor controlado por hackers específico. Essa técnica é bem difícil de usar.

Se você puder controlar sua zona DNS, poderá sempre usar o DNSSEC para proteger o conteúdo de suas zonas e garantir que tudo seja validado antes / depois da transmissão.

Sobre o servidor DNS público, sinto muito, mas não vejo o que ele poderia trazer, já que você não seria capaz de enviar seus próprios registros nele. Se você está se referindo a algo como o Route53 da Amazon, bem ... eles ainda podem ser sequestrados, eu acho, e você ainda teria que atualizá-lo de uma forma ou de outra.

    
por 06.10.2014 / 13:33