Apakah DNS mencatat informasi pribadi?

17

Dengan asumsi Anda ingin membuat subdomain yang menunjuk ke lokasi pribadi (mungkin lokasi database, atau alamat IP komputer yang tidak Anda inginkan orang lain mencoba SSH), jadi Anda menambahkan catatan DNS yang bernama sesuatu seperti ini:

private-AGhR9xJPF4.example.com

Apakah ini akan "disembunyikan" untuk semua orang kecuali mereka yang tahu URI yang tepat untuk subdoman? Atau, adakah cara untuk "daftar" semua subdomain terdaftar dari domain tertentu?

IQAndreas
sumber
Jika Anda tidak ingin itu diketahui atau ditemukan mengapa Anda membuat catatan DNS untuk itu di tempat pertama?
joeqwerty
1
@ joeqwerty Jika server menggunakan IP dinamis atau jika saya ingin mengubah target IP nanti, saya ingin semua aplikasi yang terhubung ke server untuk terus bekerja tanpa modifikasi.
IQAndreas
Saya yakin ini dijawab dalam pertanyaan lain di suatu tempat, tetapi saya tidak dapat menemukannya dengan pencarian.
Andrew B
15
Perhatikan bahwa ada banyak orang jahat yang memindai seluruh ruang IP untuk komputer yang dapat mereka gunakan SSH. Jika dapat dijangkau dari internet publik, Anda akan membuat orang menggedor port SSH.
pjc50
1
Solusi nyata untuk masalah Anda adalah firewall dan VPN.
josh3736

Jawaban:

29

Apakah ada semacam permintaan "subdomain listing" untuk DNS?

Tidak ada permintaan untuk tujuan khusus ini, tetapi ada beberapa metode tidak langsung.

  • Transfer zona non-inkremental ( AXFR). Sebagian besar operator server mengunci transfer zona ke alamat IP tertentu untuk mencegah pihak yang tidak terafiliasi mengintip.
  • Jika DNSSEC diaktifkan, NSECpermintaan berulang dapat digunakan untuk berjalan di zona tersebut . NSEC3diimplementasikan untuk membuat zona berjalan lebih intensif secara komputasi.

Ada juga trik yang akan memberi tahu seseorang jika subdomain sewenang-wenang ada.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

Dalam contoh di atas, wwwterletak di dalam sub. Kueri untuk sub.example.com IN Atidak akan mengembalikan bagian JAWABAN, tetapi kode hasil akan menjadi NOERROR bukan NXDOMAIN, mengkhianati keberadaan catatan lebih jauh di bawah pohon. (Hanya tidak apa nama catatan itu)

Haruskah kerahasiaan catatan DNS dapat diandalkan?

Tidak. Satu-satunya cara untuk secara andal menyembunyikan data dari klien adalah memastikan bahwa data tersebut tidak akan pernah dapat memulainya. Asumsikan bahwa keberadaan catatan DNS Anda akan menyebar di antara siapa pun yang memiliki akses ke sana, baik dari mulut ke mulut atau dengan mengamati paket-paket.

Jika Anda mencoba menyembunyikan catatan dari klien DNS yang dapat dirutekan, You're Doing It Wrong ™ . Pastikan data hanya terpapar ke lingkungan yang membutuhkannya. (Yaitu, gunakan domain yang dirutekan secara pribadi untuk IP pribadi) Bahkan jika Anda memiliki divisi yang diatur, anggaplah bahwa pengetahuan tentang alamat IP akan tersebar di sekitar.

Fokus pada keamanan harus pada apa yang terjadi ketika seseorang mendapatkan alamat IP, karena itu akan terjadi.


Saya sadar bahwa daftar alasan kerahasiaan alamat IP yang menjadi impian pipa dapat diperluas lebih jauh. Pemindaian IP, rekayasa sosial ... daftarnya tidak ada habisnya, dan saya kebanyakan berfokus pada aspek protokol DNS dari pertanyaan ini. Pada akhirnya, semuanya jatuh di bawah payung yang sama: seseorang akan mendapatkan alamat IP Anda .

Andrew B
sumber
3

Tergantung.

Jawaban Andrew B tepat, ketika Anda mendaftarkan subdomain di zona DNS publik yang juga menampung catatan MX perusahaan Anda dan situs web publik misalnya.

Sebagian besar perusahaan akan memiliki server DNS internal, tidak tersedia untuk umum di mana Anda akan mendaftarkan nama host untuk host ( rahasia ) internal Anda .

Metode yang disarankan adalah mendaftarkan domain khusus untuk penggunaan internal, atau sebagai alternatif membuat subdomain di domain utama Anda untuk penggunaan internal.

Tetapi secara teknis Anda juga menggunakan domain utama Anda dengan membuat tampilan internal pada domain Anda, di mana tergantung pada asal klien DNS, versi alternatif dari zona DNS akan terlihat.

HBruijn
sumber