Les enregistrements DNS sont-ils des informations privées?

17

En supposant que vous vouliez créer un sous-domaine qui pointe vers un emplacement privé (peut-être l'emplacement d'une base de données ou l'adresse IP d'un ordinateur dans lequel vous ne voulez pas que les gens tentent SSH-ing), vous ajoutez donc un enregistrement DNS nommé quelque chose comme ça:

private-AGhR9xJPF4.example.com

Serait-ce «caché» pour tout le monde sauf pour ceux qui connaissent l'URI exact du sous-domaine? Ou, existe-t-il un moyen de "lister" tous les sous-domaines enregistrés d'un domaine particulier?

IQAndreas
la source
Si vous ne voulez pas qu'il soit connu ou découvert, pourquoi créeriez-vous un enregistrement DNS pour lui en premier lieu?
joeqwerty
1
@joeqwerty Si le serveur utilise une adresse IP dynamique ou si je souhaite modifier l'adresse IP cible ultérieurement, je souhaite que les applications qui se connectent à ce serveur continuent de fonctionner sans modification.
IQAndreas
Je suis sûr que c'est répondu dans une autre question quelque part, mais je n'ai pas pu le trouver avec une recherche.
Andrew B
15
Notez qu'il y a beaucoup de méchants qui scannent tout l'espace IP pour les ordinateurs dans lesquels ils peuvent SSH. S'il est accessible à partir d'Internet public, vous allez faire claquer des gens sur le port SSH.
pjc50
1
La vraie solution à votre problème est un pare-feu et un VPN.
josh3736

Réponses:

29

Existe-t-il une sorte de "liste de sous-domaines" pour DNS?

Il n'y a pas de requête à cet effet spécifique, mais il existe quelques méthodes indirectes.

  • Un transfert de zone non incrémentiel ( AXFR). La plupart des opérateurs de serveur verrouillent les transferts de zone vers des adresses IP spécifiques pour empêcher les parties non affiliées de fouiner.
  • Si DNSSEC est activé, des NSECrequêtes itératives peuvent être utilisées pour parcourir la zone . NSEC3a été implémenté pour rendre la marche en zone plus intensive en calcul.

Il existe également une astuce qui permettra à quelqu'un de savoir s'il existe un sous-domaine arbitraire.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

Dans l'exemple ci-dessus, wwwse trouve à l'intérieur sub. Une requête pour sub.example.com IN Ane retournera pas de section ANSWER, mais le code de résultat sera NOERROR au lieu de NXDOMAIN, trahissant l'existence d'enregistrements plus bas dans l'arborescence. (mais pas le nom de ces enregistrements)

Faut-il jamais se fier au secret des enregistrements DNS?

Non. La seule façon de masquer de manière fiable les données d'un client est de s'assurer qu'il ne pourra jamais obtenir les données au départ. Supposons que l'existence de vos enregistrements DNS se propage parmi ceux qui y ont accès, soit par le bouche à oreille, soit en observant les paquets.

Si vous essayez de masquer des enregistrements d'un client DNS routable, vous le faites mal ™ . Assurez-vous que les données ne sont exposées qu'aux environnements qui en ont besoin. (c'est-à-dire utiliser des domaines à routage privé pour des adresses IP privées) Même si vous avez une telle division configurée, supposez que la connaissance des adresses IP se répandra de toute façon.

L'accent sur la sécurité devrait être mis sur ce qui se passe lorsque quelqu'un obtient l'adresse IP, car cela va se produire.


Je suis conscient que la liste des raisons pour lesquelles le secret de l'adresse IP est un rêve de pipe pourrait être élargie. Analyse IP, ingénierie sociale ... la liste est interminable, et je me concentre principalement sur les aspects du protocole DNS de cette question. À la fin de la journée, tout tombe sous le même parapluie: quelqu'un va obtenir votre adresse IP .

Andrew B
la source
3

Ça dépend.

La réponse d'Andrew B est parfaite lorsque vous enregistrez le sous-domaine dans la zone DNS publique qui héberge également les enregistrements MX et le site Web public de votre entreprise, par exemple.

La plupart des entreprises auraient un serveur DNS interne, non accessible au public où vous enregistreriez les noms d'hôte pour vos hôtes internes ( secrets ).

La méthode recommandée consiste à enregistrer un domaine dédié pour un usage interne ou à créer un sous-domaine dans votre domaine principal pour un usage interne.

Mais techniquement, vous utilisez également votre domaine principal en créant une vue interne sur votre domaine, où, selon l'origine du client DNS, une version alternative de la zone DNS serait visible.

HBruijn
la source