सार्वजनिक DNS में निजी आईपी पता

हमारे पास फ़ायरवॉल के पीछे एक SMTP केवल मेल सर्वर है, जिसमें मेल का सार्वजनिक A रिकॉर्ड होगा। । इस मेल सर्वर तक पहुँचने का एकमात्र तरीका उसी फ़ायरवॉल के पीछे किसी अन्य सर्वर से है। हम अपना निजी DNS सर्वर नहीं चलाते हैं।

क्या एक सार्वजनिक DNS सर्वर में A रिकॉर्ड के रूप में निजी IP पते का उपयोग करना एक अच्छा विचार है - या इन सर्वर रिकॉर्ड को प्रत्येक सर्वर स्थानीय होस्ट फ़ाइल में रखना सबसे अच्छा है?

कुछ लोग कहेंगे कि कोई सार्वजनिक डीएनएस रिकॉर्ड कभी भी निजी आईपी पते का खुलासा नहीं करना चाहिए .... इस सोच के साथ कि आप संभावित हमलावरों को कुछ जानकारी देने के लिए एक पैर दे रहे हैं जो निजी सिस्टम का शोषण करने के लिए आवश्यक हो सकता है।

व्यक्तिगत रूप से, मुझे लगता है कि ओफ़्यूसकेशन सुरक्षा का एक खराब रूप है, खासकर जब हम आईपी पते के बारे में बात कर रहे हैं क्योंकि सामान्य तौर पर वे वैसे भी अनुमान लगाने में आसान होते हैं, इसलिए मैं इसे एक यथार्थवादी सुरक्षा समझौते के रूप में नहीं देखता हूं।

यहां बड़ा विचार यह सुनिश्चित कर रहा है कि आपके सार्वजनिक उपयोगकर्ता आपके होस्ट किए गए एप्लिकेशन की सामान्य सार्वजनिक सेवाओं के हिस्से के रूप में इस DNS रिकॉर्ड को पिक नहीं करते हैं। यानी: बाहरी डीएनएस लुकअप किसी भी तरह एक पते पर हल करना शुरू कर देता है जो उन्हें नहीं मिल सकता है।

इसके अलावा, मुझे कोई मूलभूत कारण दिखाई नहीं देता है कि निजी पते को सार्वजनिक स्थान पर रिकॉर्ड करना एक समस्या है .... खासकर जब आपके पास उन्हें होस्ट करने के लिए कोई वैकल्पिक DNS सर्वर नहीं है।

यदि आप इस रिकॉर्ड को सार्वजनिक DNS स्थान में रखने का निर्णय लेते हैं, तो आप सभी "निजी" रिकॉर्ड रखने के लिए एक ही सर्वर पर एक अलग क्षेत्र बनाने पर विचार कर सकते हैं। यह स्पष्ट कर देगा कि वे निजी होने का इरादा रखते हैं .... हालांकि सिर्फ एक ए रिकॉर्ड के लिए, मैं शायद परेशान नहीं करूंगा।

मैंने कुछ समय पहले NANOG सूची पर इस विषय पर एक लंबी चर्चा की थी। हालांकि मैंने हमेशा सोचा था कि यह एक बुरा विचार था, पता चलता है कि यह व्यवहार में ऐसा बुरा विचार नहीं है। ज्यादातर कठिनाइयाँ rDNS लुकअप से आती हैं (जो कि निजी पते के लिए बस बाहरी दुनिया में काम नहीं करते हैं), और जब आप किसी वीपीएन से अधिक पते पर पहुँच प्रदान कर रहे हों या इसी तरह यह सुनिश्चित करना महत्वपूर्ण हो कि वीपीएन क्लाइंट ठीक से सुरक्षित हैं। वीपीएन डाउन होने पर "लीक" ट्रैफ़िक।

मेरा कहना है कि इसे कर ही दो. अगर किसी हमलावर को आंतरिक पतों पर नामों को हल करने में सक्षम होने से कुछ भी सार्थक मिल सकता है, तो आपको बड़ी सुरक्षा समस्याएं हैं।

आम तौर पर सार्वजनिक DNS में RFC1918 पतों को शुरू करने से भविष्य में कुछ बिंदु पर, वास्तविक समस्या नहीं होने पर भ्रम पैदा होगा। अपने फ़ायरवॉल के पीछे RFC1918 पतों का उपयोग करने के लिए IP, होस्ट रिकॉर्ड या अपने ज़ोन का एक निजी DNS दृश्य का उपयोग करें, लेकिन उन्हें सार्वजनिक दृश्य में शामिल न करें।

अन्य सबमिट की गई प्रतिक्रिया के आधार पर अपनी प्रतिक्रिया स्पष्ट करने के लिए, मुझे लगता है कि सार्वजनिक DNS में RFC1918 पतों को पेश करना एक फ़ॉक्स पेस है, सुरक्षा मुद्दा नहीं। अगर कोई मुझे किसी मुद्दे को शूट करने के लिए परेशान करता है और मैं उनके DNS में RFC1918 पतों को ठोकर मारता हूं, तो मैं वास्तव में धीरे-धीरे बात करना शुरू करता हूं और उनसे पूछता हूं कि क्या उन्होंने हाल ही में रिबूट किया है। हो सकता है कि यह मेरी तरफ से झांसा दे, मुझे नहीं पता। लेकिन जैसा मैंने कहा, यह कोई आवश्यक बात नहीं है और यह किसी समय पर भ्रम और गलतफहमी (मानव, कंप्यूटर नहीं) पैदा करने की संभावना है। यह जोखिम क्यों है?

नहीं, अपने निजी आईपी पते सार्वजनिक डीएनएस में न डालें।

सबसे पहले, यह जानकारी लीक करता है, हालांकि यह एक अपेक्षाकृत छोटी समस्या है।

यदि आपका एमएक्स रिकॉर्ड उस विशेष मेजबान प्रविष्टि को इंगित करता है तो इससे भी बदतर समस्या यह है कि जो कोई भी इसे मेल भेजने की कोशिश करता है, उसे मेल डिलीवरी टाइमआउट सबसे अच्छा मिलेगा।

प्रेषक के मेल सॉफ़्टवेयर के आधार पर उन्हें बाउंस मिल सकता है।

इससे भी बदतर, यदि आप RFC1918 एड्रेस स्पेस (जो आपको अपने नेटवर्क के अंदर चाहिए) का उपयोग कर रहे हैं, और प्रेषक भी है, तो हर मौका है कि वे मेल करके अपने नेटवर्क को वितरित करने का प्रयास करेंगे।

उदाहरण के लिए:

• नेटवर्क में आंतरिक मेल सर्वर है, लेकिन कोई विभाजन DNS नहीं है
• प्रशासन इसलिए DNS में सार्वजनिक और आंतरिक दोनों IP पते डालता है
• और एमएक्स रिकॉर्ड दोनों को इंगित करते हैं:

 $ORIGIN example.com
 @        IN   MX    mail.example.com
 mail     IN   A     192.168.1.2
          IN   A     some_public_IP

• इसे देखने वाला कोई व्यक्ति 192.168.1.2 से जुड़ने का प्रयास कर सकता है
• सबसे अच्छा मामला, यह उछलता है, क्योंकि उन्हें कोई रास्ता नहीं मिला है
• लेकिन अगर उन्हें 192.168.1.2 का उपयोग करते हुए एक सर्वर भी मिला है, तो मेल गलत जगह जाएगा

हां, यह एक टूटा हुआ कॉन्फ़िगरेशन है, लेकिन मैंने इसे (और बदतर) होते देखा है।

नहीं, यह डीएनएस की गलती नहीं है, यह वही कर रहा है जो इसे बताया गया है।

हालांकि संभावना दूरस्थ है मुझे लगता है कि आप MITM के कुछ हमलों के लिए खुद को स्थापित कर रहे होंगे।

मेरी चिंता यह होगी। कहते हैं कि मेल सर्वर पर कॉन्फ़िगर किए गए मेल क्लाइंट के साथ आपके उपयोगकर्ता में से एक अपने लैपटॉप को किसी अन्य नेटवर्क पर ले जाता है। यदि ऐसा होता है तो अन्य नेटवर्क भी उसी RFC1918 के उपयोग में होते हैं। वह लैपटॉप smtp सर्वर में प्रवेश करने का प्रयास कर सकता है और उपयोगकर्ता के क्रेडेंशियल्स को उस सर्वर पर प्रस्तुत कर सकता है जो उसके पास नहीं होना चाहिए। यह विशेष रूप से सच होगा क्योंकि आपने एसएमटीपी कहा था और यह उल्लेख नहीं किया था कि आपको एसएसएल की आवश्यकता है।

आपके दो विकल्प / etc / मेजबान हैं और आपके सार्वजनिक क्षेत्र में एक निजी IP पता डाल रहे हैं। मैं पूर्व की सिफारिश करूंगा। यदि यह बड़ी संख्या में मेजबानों का प्रतिनिधित्व करता है, तो आपको आंतरिक रूप से अपनी रिवाल्वर चलाने पर विचार करना चाहिए, यह उतना कठिन नहीं है।

इसके साथ सूक्ष्म समस्याएं हो सकती हैं। एक यह है कि DNS रिबाइंड हमलों का सामान्य समाधान सार्वजनिक DNS सर्वरों से हल की गई स्थानीय DNS प्रविष्टियों को फ़िल्टर करता है। तो आप या तो खुद को विद्रोही हमलों के लिए खोलते हैं, या स्थानीय पते काम नहीं करते हैं, या अधिक परिष्कृत कॉन्फ़िगरेशन की आवश्यकता होती है (यदि आपका सॉफ़्टवेयर / राउटर इसे अनुमति भी देता है)।

इसे होस्ट्स फ़ाइल में रखना सबसे अच्छा है। यदि किसी भी मशीन को कभी भी किसी भी तरह से कनेक्ट करना है, तो उसे सार्वजनिक DNS में डालने से आपको क्या लाभ होगा?

यदि निजी द्वारा आपका मतलब 10.0.0.0/8, 192.168.0.0/16, या 172.16.0.0/12 है, तो नहीं । अधिकांश इंटरनेट राउटर इसे पहचानते हैं कि यह क्या है - एक निजी पता जिसे कभी भी सार्वजनिक इंटरनेट पर सीधे फैशन में रूट नहीं किया जाना चाहिए , जो कि NAT की लोकप्रियता में मदद करता है। आपके सार्वजनिक DNS सर्वर से संपर्क करने का प्रयास करने वाला कोई भी व्यक्ति DNS से ​​निजी आईपी पते को पुनः प्राप्त करेगा, केवल एक पैकेट भेजने के लिए .... कहीं नहीं। जैसा कि उनका कनेक्शन इंटरनेट को आपके निजी पते पर भेजने का प्रयास करता है, कुछ (पूरी तरह से कॉन्फ़िगर) राउटर रास्ते में बस पैकेट को जिंदा खा जाएगा।

यदि आप "बाहर" से "अंदर" आने के लिए ईमेल प्राप्त करना चाहते हैं, तो कुछ बिंदु पर, पैकेट को आपके फ़ायरवॉल को पार करना होगा। मैं इसे संभालने के लिए एक डीएमजेड पता स्थापित करने का सुझाव दूंगा - एक एकल सार्वजनिक आईपी पता जो किसी भी राउटर / फ़ायरवॉल द्वारा आपके द्वारा नियंत्रित किया जाता है। मौजूदा सेटअप जिसे आप ध्वनियों का वर्णन करते हैं, यह बिल्कुल वैसा ही करता है।

संपादित करें: इरादे का स्पष्टीकरण ... (नीचे टिप्पणी देखें)। यदि यह समझ में नहीं आता है, तो मैं अपना स्वयं का पद निकालने के लिए मतदान करूंगा।

मैं इसी तरह की जानकारी की तलाश में यहां पहुंचा था और आश्चर्यचकित था कि कई लोग कहते हैं कि यह आपके निजी आईपी पते को लीक करना ठीक है। मुझे लगता है कि हैक किए जाने के संदर्भ में, यह बहुत बड़ा अंतर नहीं है अगर आप सुरक्षित नेटवर्क पर हैं। हालाँकि, DigitalOcean में सभी स्थानीय नेटवर्क ट्रैफ़िक ठीक उसी केबलों पर हैं, जहाँ हर किसी के पास वास्तव में बाकी सभी ट्रैफ़िक तक पहुँच हो सकती है (संभवत: मैन इन द मिडल अटैक)। यदि आपको बस एक ही डेटा सेंटर में एक कंप्यूटर मिलेगा। जानकारी निश्चित रूप से आपको मेरे ट्रैफ़िक को हैक करने के करीब एक कदम देती है। (अब प्रत्येक ग्राहक का अपना निजी नेटवर्क है जैसे अन्य क्लाउड सेवाओं जैसे AWS के साथ।)

कहा जा रहा है, अपनी खुद की BIND9 सेवा के साथ, आप आसानी से अपने सार्वजनिक और निजी आईपी को परिभाषित कर सकते हैं। यह viewसुविधा का उपयोग करके किया जाता है , जिसमें एक सशर्त शामिल होता है। यह आपको एक DNS को क्वेरी करने और आंतरिक आईपी के बारे में एक उत्तर प्राप्त करने की अनुमति देता है, यदि आप अपने स्वयं के आंतरिक आईपी पते से पूछ रहे हों।

सेटअप के लिए दो ज़ोन की आवश्यकता होती है। चयन का उपयोग करता है match-clients। यहाँ BIND9 के साथ दो-इन-वन DNS सर्वर से सेटअप का एक उदाहरण है :

acl slaves {
    195.234.42.0/24;    // XName
    193.218.105.144/28; // XName
    193.24.212.232/29;  // XName
};

acl internals {
    127.0.0.0/8;
    10.0.0.0/24;
};

view "internal" {
    match-clients { internals; };
    recursion yes;
    zone "example.com" {
        type master;
        file "/etc/bind/internals/db.example.com";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "/etc/bind/externals/db.example.com";
        allow-transfer { slaves; };
    };
};

यहां बाहरी क्षेत्र है और हम देख सकते हैं कि आईपी निजी नहीं हैं

; example.com
$TTL    604800
@       IN      SOA     ns1.example.com. root.example.com. (
                     2006020201 ; Serial
                         604800 ; Refresh
                          86400 ; Retry
                        2419200 ; Expire
                         604800); Negative Cache TTL
;
@       IN      NS      ns1
        IN      MX      10 mail
        IN      A       192.0.2.1
ns1     IN      A       192.0.2.1
mail    IN      A       192.0.2.128 ; We have our mail server somewhere else.
www     IN      A       192.0.2.1
client1 IN      A       192.0.2.201 ; We connect to client1 very often.

आंतरिक क्षेत्र के लिए, हम पहले बाहरी क्षेत्र को शामिल करते हैं, जो कि यह कैसे काम करता है। यदि आप एक आंतरिक कंप्यूटर हैं, तो आप केवल आंतरिक क्षेत्र का उपयोग करते हैं, इसलिए आपको अभी भी बाहरी क्षेत्र परिभाषाओं की आवश्यकता है, इसलिए $includeकमांड:

$include "/etc/bind/external/db.example.com"
@       IN      A       10.0.0.1
boss    IN      A       10.0.0.100
printer IN      A       10.0.0.101
scrtry  IN      A       10.0.0.102
sip01   IN      A       10.0.0.201
lab     IN      A       10.0.0.103

अंत में, आपको यह सुनिश्चित करना होगा कि आपके सभी कंप्यूटर अब उस DNS और उसके दासों का उपयोग करें। एक स्थैतिक नेटवर्क को मानते हुए, इसका अर्थ होगा आपकी /etc/network/interfacesफ़ाइल का संपादन करना और nameserverविकल्प में अपने DNS IP का उपयोग करना । कुछ इस तरह:

iface eth0 inet static
    ...
    nameserver 10.0.0.1 10.0.0.103 ...

अब आप सभी को सेट होना चाहिए।