Risque de sécurité avec l'utilisation de la propriété intellectuelle interne sur DNS public
Un serveur Web à l'intérieur du réseau Office accessible par le personnel en interne et le DNS interne résolve web.company.com à l'adresse IP LAN du serveur.
PUBLICITY, les serveurs de noms d'entreprise appartiennent à leur société d'hébergement de parti où le site Web de la société principale est hébergé et qu'il n'a pas enregistré web.company.com.
Maintenant, si le web.company.com devrait également être accessible de l'extérieur, il est correct d'exposer notre IP LAN dans le dossier A afin que seul le personnel avec VPN puisse accéder; ou si web.company.com résolvez-vous à l'adresse externe du réseau Office et utilisez un pare-feu pour se diriger vers l'IP LAN?
Y compris les IP privées dans les entrées publiques DNS n'est pas idéale car elle fournit un attaquant avec:
- Une indication de vos sous-réneaux internes;
- Adresses IP réelles pour des ressources internes spécifiques.
Ni sont susceptibles d'entraîner un compromis direct, mais peuvent aider à une attaque ou peuvent faciliter le compromis futile.
De manière générale, des informations sur votre réseau interne et vos ressources hébergées doivent être évitées.
De votre question, il semble que les ressources internes ne soient que prévu aux utilisateurs de VPN, il peut donc être plus approprié d'avoir un DNS interne que les utilisateurs de VPN peuvent accéder à ceux-ci évite toute problème avec les informations "sensibles" dans les enregistrements publiques DNS.
Il existe un autre risque utilisant des adresses IP privées/LAN pour les enregistrements DNS publics.
Supposons que vous ayez un utilisateur d'ordinateur portable dans votre réseau local, qui utilise web.company.com (qui se résout par exemple à 192.168.178.10).
Si cet utilisateur connecte son ordinateur portable à un autre réseau (WiFi!), Et essaie d'utiliser web.company.com, il va se résoudre à 192.168.178.1 Utilisation de l'entrée DNS publique. Il peut être possible que l'adresse IP 192.168.178.10 correspond à une machine sur ce réseau étranger. L'ordinateur portable enverra ensuite des informations à cette machine, qui peuvent même inclure des informations d'identification de texte, des cookies ou d'autres données.
Il peut même être possible de configurer une sorte de Honeypot en utilisant des connaissances détaillées sur le réseau local.
Votre description de l'architecture et de l'architecture proposée est un peu déroutante. Si vous publiez le DNS d'une adresse IP interne sur votre DNS en public, seules les personnes sur votre réseau ou sur votre VPN seront en mesure de l'atteindre. Une partie externe sera en mesure de rechercher web.company.com et de récupérer le 172.168.1.10, mais le réseau qu'ils sont sur lesquels ils ne pourront pas suivre le trafic vers ce serveur. Le trafic peut aller à un 172.168.1.10 mais ce ne sera pas le bon serveur. Le réseau qu'ils surviennent peuvent avoir un serveur utilisant cette même adresse IP.
Vous ferez peut-être mieux d'utiliser une vraie adresse IP pour le serveur interne et que votre routeur dirige-t-il le trafic sur le serveur interne (avec les restrictions d'accès appropriées). Parlez à votre équipe de réseau.
En termes de sécurité, il n'est pas formidable d'exposer les IP internes à l'extérieur, mais ce n'est pas horrible. Cela pourrait aider quelqu'un qui tente d'attaquer des ressources internes de l'extérieur en exploitant un service frontalier vulnérable. D'accord pour un réseau commercial régulier, pas d'accord pour protéger mon stimulateur cardiaque ou mon codes de lancement.