Frage Private IP-Adresse im öffentlichen DNS


Wir haben einen SMTP-Mail-Server hinter einer Firewall, der über einen öffentlichen E-Mail-Eintrag verfügt..  Die einzige Möglichkeit, auf diesen Mail-Server zuzugreifen, stammt von einem anderen Server hinter derselben Firewall. Wir betreiben keinen eigenen privaten DNS-Server.

Ist es eine gute Idee, die private IP-Adresse als A-Eintrag in einem öffentlichen DNS-Server zu verwenden - oder ist es am besten, diese Servereinträge in der lokalen Datei jedes Servers zu speichern?


52
2018-05-05 02:21


Ursprung




Antworten:


Einige Leute werden sagen, dass keine öffentlichen DNS-Einträge private IP-Adressen offenbaren sollten ... mit der Überlegung, dass Sie potenziellen Angreifern ein Bein auf einige Informationen geben, die zur Ausnutzung privater Systeme erforderlich sein könnten.

Ich glaube, dass Verschleierung eine schlechte Form der Sicherheit ist, besonders wenn wir über IP-Adressen sprechen, weil sie im Allgemeinen sowieso leicht zu erraten sind, also sehe ich das nicht als einen realistischen Sicherheitskompromiss.

Die größere Überlegung hier ist, sicherzustellen, dass Ihre öffentlichen Benutzer diesen DNS-Eintrag nicht als Teil der normalen öffentlichen Dienste Ihrer gehosteten Anwendung abholen. Dh: Externe DNS-Lookups beginnen sich irgendwie auf eine Adresse zu konzentrieren, zu der sie nicht gelangen.

Abgesehen davon sehe ich keinen fundamentalen Grund, warum private A-Einträge in den öffentlichen Raum zu stellen ein Problem ist .... vor allem, wenn Sie keinen alternativen DNS-Server haben, um sie zu hosten.

Wenn Sie sich dafür entscheiden, diesen Datensatz in den öffentlichen DNS-Bereich zu stellen, sollten Sie möglicherweise eine separate Zone auf demselben Server erstellen, die alle privaten Datensätze enthält. Dies wird es klarer machen, dass sie privat sein sollen ... aber für nur eine A-Platte würde ich wahrscheinlich nicht stören.


51
2018-05-05 02:37



+1, siehe Kommentar zu Womble's Antwort für Grund :) - Mihai Limbăşan
Dies ist ein gutes Beispiel für ein Problem mit dieser Idee: merit.edu/mail.archives/nanog/2006-09/msg00364.html - sucuri
Gilt dieser Hinweis auch dann, wenn Sie sensible Server mit öffentlichen IP-Adressen haben, aber hinter einer Firewall, die den Zugriff einschränkt? Wenn das öffentliche DNS für die öffentlichen IP-Adressen eine Roadmap der Infrastruktur gibt, ist das nicht etwas für einen Angreifer? Host-Identifikation? - Kenny
@Kenny Ja, in der Theorie hat das etwas Verwendung, aber es sind Informationen, die nicht schwer zu bekommen sind, weil die Reichweite der öffentlichen IP-Adressen ohnehin leicht zu erkennen ist. Ich habe das in der Antwort angesprochen und zu diesem Gedanken hinzugefügt, dass ich argumentieren würde, dass, wenn Sie darauf angewiesen sind, IP-Adressen oder Hostnamen als eine Art materielle Verteidigungslinie zu verstecken, Sie bereits viel größere Probleme haben. - Tall Jeff
@Kenny Auf jeden Fall ist es wünschenswert, die Menge an Informationen zu minimieren, die öffentlich auffindbar sind, und Sie würden nicht etwas preisgeben wollen, das Sie nicht brauchen, oder zumindest nicht ein gutes Kosten-Nutzen-Verhältnis haben. Aus beteiligt, um es zu betrachten. Kein Argument dort. Abgesehen davon bestand der Kern meines Arguments (und ich denke, wir stimmen zu) einfach darin, dass diese Verschleierung eine schlechte Form der Sicherheit ist und dass es kein absolutes gut / schlecht gibt, sondern nur ein Kontinuum von Kosten / Nutzen-Kompromissen von Fall zu Fall abhängig von Ihrer Risikotoleranz usw. - Tall Jeff


Ich hatte vor einiger Zeit eine längere Diskussion über dieses Thema auf der NANOG-Liste. Obwohl ich immer gedacht hatte, dass es eine schlechte Idee war, stellt sich heraus, dass es in der Praxis keine so schlechte Idee ist. Die Schwierigkeiten kommen meistens von rDNS-Lookups (was für private Adressen einfach nicht in der Außenwelt funktioniert), und wenn Sie Zugriff auf die Adressen über ein VPN oder ähnliches bereitstellen, ist es wichtig sicherzustellen, dass die VPN-Clients ordnungsgemäß geschützt sind "leaking" Verkehr, wenn das VPN nicht verfügbar ist.

Ich sage es. Wenn ein Angreifer etwas Sinnvolles bekommen kann, wenn er Namen in interne Adressen auflösen kann, haben Sie größere Sicherheitsprobleme.


30
2018-05-05 02:30



+1, danke, dass du in allen Antworten der FUD auf diese Frage eine Stimme der Vernunft bist. "Sicherheitsrisiko" meine unteren dorsalen Regionen, und sehen Routing-Probleme und DNS-Probleme in eine einzige reflexartige "tun Sie es nicht" Reaktion zusammen, lässt mich nur über die Kompetenz von Menschen denken, die Netzwerke überall führen. - Mihai Limbăşan
Korrektur: Machen Sie das "sehen Routing-Probleme und DNS-Probleme und Authentifizierungs- / Identitätsprobleme, die kollabiert werden ". - Mihai Limbăşan


Im Allgemeinen führt die Einführung von RFC1918-Adressen in das öffentliche DNS zu Verwirrung, wenn nicht gar zu einem echten Problem in der Zukunft. Verwenden Sie IPs, Hostdatensätze oder eine private DNS-Ansicht Ihrer Zone, um die RFC1918-Adressen hinter Ihrer Firewall zu verwenden, sie jedoch nicht in die öffentliche Ansicht aufzunehmen.

Um meine Antwort auf der Grundlage der anderen eingereichten Antwort zu klären, denke ich, dass die Einführung von RFC1918-Adressen in öffentliches DNS ein Fauxpas ist, kein Sicherheitsproblem. Wenn mich jemand anruft, um ein Problem zu beheben und ich über RFC1918-Adressen in seinem DNS stolpere, fange ich langsam an zu reden und frage, ob sie kürzlich neugestartet sind. Vielleicht ist das Snobismus meinerseits, ich weiß es nicht. Aber wie ich schon sagte, es ist nicht unbedingt notwendig und es wird wahrscheinlich zu Verwirrung und Missverständnissen führen (Mensch, nicht Computer). Warum riskieren Sie es?


8
2018-05-05 02:29



Was sind das für echte Probleme? Auf welche Weise werden Menschen verwirrt sein? - womble♦
Also ist es ... höflich ... keine 1918 Adressen in das öffentliche DNS zu schreiben? Ich habe viele Probleme, die "versteckte" und "Split Horizon" DNS-Zonen verursacht haben, aber nicht so viele verursacht durch private IP im öffentlichen DNS verursacht. Ich sehe das Problem einfach nicht. - womble♦
@womble, Computer könnten verwirrt sein, wenn sie aus irgendeinem Grund versuchen, eine Verbindung zu diesem Host außerhalb Ihres Netzwerks herzustellen, und anstatt den erwarteten SMTP-Server zu bekommen, erhielten sie alles, was an dieser IP-Adresse in dem LAN lebte, mit dem sie gerade verbunden waren. Es könnte sogar sein, dass einer Ihrer Mitarbeiter, der einen Laptop auf einer Fernbedienung benutzt, den Benutzernamen und das Passwort im Klartext eines anderen Netzwerks ausgibt, nur weil sie zufällig eine 192.168.1.1 haben - Zoredache
Das Problem, das ich mit Ihrer Antwort habe, ist, dass Sie auf Probleme hinweisen, aber keine Details angeben. Wenn es Gründe gibt, es nicht zu tun, möchte ich etwas über sie wissen, damit ich eine fundierte Entscheidung zu diesem Thema treffen kann. - womble♦
Ich würde auch gerne wissen, welche "Verwirrung" entstehen kann. Die einzige "Verwirrung", die ich mir vorstellen kann, sind RFC1918-Adressen in öffentlichen NS- oder MX-Records, und das ist ein großer fetter Fehler, keine Verwirrung. Das Sicherheitsproblem ist ein Ablenkungsmanöver, 90% der Leute haben bereits 192.168.1.0/24 und niemand wird sich wirklich die Mühe machen, DNS nach mehr zu durchsuchen, und wenn Sie sich über interne Netzwerke Gedanken machen, haben Sie in letzter Zeit Ihre SMTP-Header überprüft? Dachte so. - Mihai Limbăşan


Nein, setzen Sie Ihre privaten IP-Adressen nicht in das öffentliche DNS.

Erstens verliert es Informationen, obwohl das ein relativ kleines Problem ist.

Das schlimmste Problem, wenn Ihre MX-Datensätze auf diesen bestimmten Host-Eintrag verweisen, ist, dass jeder, der versucht, E-Mails an ihn zu senden, im besten Fall Mail-Timeouts erhält.

Abhängig von der E-Mail-Software des Absenders können sie Bounces bekommen.

Schlimmer noch, wenn Sie RFC1918-Adressraum verwenden (was in Ihrem Netzwerk auch der Fall sein sollte) und der Absender ist, besteht die Chance, dass sie versuchen, die E-Mails an ihr eigenes Netzwerk zu senden.

Zum Beispiel:

  • Das Netzwerk verfügt über einen internen Mail-Server, aber keine DNS-Aufteilung
  • admin stellt daher sowohl öffentliche als auch interne IP-Adressen in den DNS ein
  • und MX-Datensätze zeigen auf beide:

 $ORIGIN example.com
 @        IN   MX    mail.example.com
 mail     IN   A     192.168.1.2
          IN   A     some_public_IP

  • jemand, der das sieht könnte versuche dich mit 192.168.1.2 zu verbinden
  • Im besten Fall, es springt, weil sie keine Route haben
  • Aber wenn sie auch einen Server mit 192.168.1.2 haben, wird die Mail an den falschen Ort gehen

Ja, es ist eine kaputte Konfiguration, aber ich habe gesehen, dass dies (und schlimmer) passiert ist.

Nein, es ist nicht die Schuld von DNS, es tut nur, was es gesagt hat.


6
2018-05-05 09:35



Wie führt die Zustellung von E-Mails an die falsche Maschine zu einem DNS-Problem? Sie sollten den SMTP-Server authentifizieren. Das ist ein SMTP-Konfigurationsproblem, das absolut nichts mit DNS zu tun hat. Sie vergleichen hier nicht einmal Äpfel mit Orangen, Sie vergleichen einen radioaktiv gebutterten Toast mit fünf Milligramm Lagrange-Derivaten am Stiel. Wenn Sie befürchten, das falsche MX- oder A-Ergebnis zu erhalten, sollten Sie DNSSEC verwenden, anstatt DNS für das verantwortlich zu machen, für das es nicht verantwortlich ist. Wenn Sie fälschlicherweise SMTP an die falsche RFC1918-Nummer liefern, haben Sie Ihr Netzwerk falsch konfiguriert. - Mihai Limbăşan
(reposted loben zur Klärung) - Mihai Limbăşan
Wenn jemand in Ihrem Netzwerk eine IP-Nummer "erfunden" hat, funktioniert das IP-Protokoll genauso wie geplant, d. H. Ohne Sicherheit. Was Sie fragen, ist, "wie kann ich darauf vertrauen, dass ich tatsächlich mit wem auch immer spreche, mit dem ich sprechen soll?" und die Antwort darauf kann nicht durch IP und / oder DNS geliefert werden, die Antwort darauf wird von DNSSEC und / oder SSL / TLS und / oder einem Anwendungsschichtmechanismus geliefert. - Mihai Limbăşan
Lies einfach deinen Kommentar zu Daves Post - dein Beitrag macht jetzt mehr Sinn :) Ich stimme immer noch nicht mit der Prämisse überein, aber ich glaube nicht, dass es mehr irrational ist ... - Mihai Limbăşan
Nein, es ging gar nicht um Authentifizierung, nur um Verbindungen, die am falschen Ort enden. ich sah viel davon, als Verisign beschloss, * .com in ~ 2001 zu verwildern. - Alnitak


Ihre zwei Optionen sind / etc / hosts und setzen Sie eine private IP-Adresse in Ihre öffentliche Zone. Ich würde das ehemalige empfehlen. Wenn dies eine große Anzahl an Hosts darstellt, sollten Sie in Erwägung ziehen, Ihren eigenen Resolver intern auszuführen. Das ist nicht so schwer.


3
2018-05-05 04:32



Das ist sicherlich eine Option, aber warum? Was bringt Ihnen das Ausführen eines internen Resolvers oder (viel schlauer) mit etwas wie BIND-Views neben Verwaltungsaufwand und Wartungsaufwand? Das verstehe ich nicht. - Mihai Limbăşan
Einen eigenen Nameserver zu betreiben, ist keine Hexerei. Wenn Ihr Netzwerk eine ausreichende Größe hat, die Sie / etc / hosts als Hack oder zu zeitaufwändig verwenden möchten, müssen Sie ein Resolver-Paar in Ihrem Netzwerk einrichten. Als Nebeneffekt reduzieren Sie die Menge an DNS-Verkehr, der Ihr Netzwerk verlässt, und Sie beschleunigen die Auflösung häufiger Anfragen. - Dave Cheney
Ich weiß, es ist kein Hexenwerk, aber es ist ein Wartungsaufwand und ein potenzielles Sicherheitsrisiko. Sicherlich ein höheres Sicherheitsrisiko als die Existenz eines RFC1918 Netzwerkes. DNS-Verkehr ist völlig vernachlässigbar - ich hosten mehr als 80 mäßig große und belebte Zone Dateien auf meinem DNS bei der Arbeit und wöchentliche DNS-Verkehr ist weniger als 2 Minuten von Youtube. Die Beschleunigung der Abfrageauflösung ist tatsächlich das erste halbwegs vernünftige Argument gegen RFC1918-Nummern in DNS, die ich hier gesehen habe :) Upvoted, um tatsächlich ein bisschen über den üblichen Kniestrumpf hinaus zu denken "oh, nein, es ist ein Sicherheitsrisiko" Reaktion :) - Mihai Limbăşan
@Alnitak: Ich verstehe, woher du kommst, aber das ist immer noch kein DNS-Problem, und ich behaupte, dass es keine gute Idee ist, Probleme zu lösen, die irgendwo anders über DNS entstehen. Probleme sollten an der Quelle behoben werden, nicht durch DNS-Hacks behoben werden - Hacks machen Netzwerke brüchig. - Mihai Limbăşan
Nun, ja, ich stimme zu. Und die Informationen Ihres privaten Hosts in das öffentliche DNS zu stellen ist eine Hack-Lösung für das Problem, keinen internen DNS-Server zu haben ... :) Das Problem ist, dass die höheren Ebenen dies nicht tun kennt dass diese Information "privat" sein soll. - Alnitak


Obwohl die Möglichkeit sehr gering ist, denke ich, dass Sie sich vielleicht für einen MITM-Angriff entscheiden.

Meine Sorge wäre das. Nehmen wir an, einer Ihrer Benutzer mit einem Mail-Client, der so konfiguriert ist, dass er auf diesen Mail-Server zeigt, nimmt ihren Laptop in ein anderes Netzwerk. Was passiert, wenn das andere Netzwerk den gleichen RFC1918 verwendet? Dieser Laptop versucht möglicherweise, sich beim SMTP-Server anzumelden und die Anmeldeinformationen des Benutzers einem Server anzubieten, der ihn nicht haben sollte. Dies trifft besonders zu, da Sie SMTP angegeben haben und nicht erwähnt haben, dass Sie SSL benötigen.


2
2018-05-05 02:56



Wenn der Benutzer einen Laptop hat, den er in Ihrem Büro und auch anderswo verwendet, haben die Benutzer wahrscheinlich ihre Hosts-Datei so konfiguriert, dass sie auf die interne IP des MTA zeigt, oder sie haben die IP direkt in ihrer MUA-Konfiguration verwendet. Gleiches Endergebnis. Bringen Sie IPv6 und den Tod von RFC1918, es ist der einzige Weg, um sicher zu sein ... - womble♦
Ausgezeichneter Punkt Zoredache. Dies ist ein interessanter Angriffsvektor. Abhängig von der MUA kann es das übliche "etwas lästiges passiert, bitte klicken Sie mich, um zu tun, was Sie wollten, dass ich an erster Stelle tun" -Dialogfeld, oder es könnte direkt fehlschlagen, wenn das SSL-Zertifikat nicht übereinstimmt. - Dave Cheney


Es ist am besten, es in der hosts-Datei zu behalten. Wenn nur eine Maschine jemals eine Verbindung zu ihr herstellen soll, was gewinnen Sie dann, wenn Sie sie in den öffentlichen DNS-Server einfügen?


1
2018-05-05 15:13





Wenn Sie unter privat eine 10.0.0.0/8, eine 192.168.0.0/16 oder eine 172.16.0.0/12 meinen, dann nicht. Die meisten Internet-Router erkennen es für das, was es ist - eine private Adresse, die muss noch nie direkt auf das öffentliche Internet geroutet werden, was der Popularität von NAT geholfen hat. Jeder, der versucht, Ihren öffentlichen DNS-Server zu kontaktieren, ruft die private IP-Adresse von DNS ab, um ein Paket an .... Nirgendwo zu senden. Da ihre Verbindung versucht, das Internet zu Ihrer privaten Adresse zu durchqueren, wird ein (vernünftig konfigurierter) Router auf dem Weg einfach das Paket lebendig essen.

Wenn Sie E-Mails von "außen" erhalten möchten, um "nach innen" zu kommen, muss das Paket irgendwann Ihre Firewall passieren. Ich würde vorschlagen, eine DMZ-Adresse einzurichten, um das zu handhaben - eine einzelne öffentliche IP-Adresse, die streng von jedem Router / Firewall kontrolliert wird, den Sie an Ort und Stelle haben. Das vorhandene Setup, das Sie beschreiben, klingt genau so.

EDIT: Klärung der Absicht ... (siehe Kommentare unten). Wenn das keinen Sinn ergibt, werde ich dafür stimmen, meinen eigenen Beitrag zu entfernen.


1
2018-05-05 13:39



Das ist alles schön und wahr, aber Sie haben keinen tatsächlichen Grund dafür angegeben, warum man keine RFC1918-Adressen in DNS veröffentlichen sollte. Sie haben gerade beschrieben, was RFC1918-Adressen sind und dass es nicht möglich ist, eine Route zu einigen von ihnen zu haben. Wie unterscheidet sich das von jeder anderen IP-Nummer? Es ist möglich, keine Route zu 198.41.0.4 zu haben - bedeutet das, dass es falsch ist, 198.41.0.4 im DNS zu veröffentlichen? DNS ist ein Namensauflösungssystem. Es hat nichts mit Routing zu tun, die beiden sind orthogonal. Sie führen zwei Problemkategorien zusammen, die im Grunde FUD sind. - Mihai Limbăşan
Der Kontext der Diskussion war die Verwendung von privaten IP-Adressen in einem Öffentlichkeit DNS Server. Der Punkt des Beitrags war, dass Router standardmäßig keine privaten IP-Adressen routen sollten. Ich habe nicht versucht, dir das anzuzeigen kippen Verwenden Sie private IP-Adressen in einem DNS-Server, nur dass Sie diese IP-Adressen nicht "nach außen" bereitstellen sollten. Wenn das nicht klar genug ist, werde ich die Post gerne zurückziehen. Ansonsten stimme ich nicht zu, der Beitrag ist 100% genau - der Nettoeffekt für diese Person ist, dass sie / wenn sie dies tun, Probleme haben werden. - Avery Payne
nickt Dein Kommentar unter Alnitaks Beitrag hat es geklärt :) Danke. - Mihai Limbăşan
"Jeder, der versucht, Ihren öffentlichen DNS-Server zu kontaktieren, ruft die private IP-Adresse von DNS ab, nur um ein Paket an .... nirgends zu senden" - Nein, Sie haben gerade DNS Rebinding beschrieben und es funktioniert auf einigen der sichersten Router da draußen, einschließlich meiner PepWave Surf SOHO: rebind.network/rebind - Ohad Schneider


Es kann subtile Probleme damit geben. Zum einen filtern gängige DNS-Rebind-Angriffe lokale DNS-Einträge von öffentlichen DNS-Servern. Also öffnest du dich entweder für Rebind-Angriffe oder lokale Adressen funktionieren nicht oder erfordern komplexere Konfiguration (wenn deine Software / Router es sogar erlaubt).


1
2017-09-16 08:17



+1 DNS Rebinding ist schlecht !! medium.com/@brannondorsey/ ... - Ohad Schneider