Dengan asumsi Anda ingin membuat subdomain yang menunjuk ke lokasi pribadi (mungkin lokasi database, atau alamat IP komputer yang tidak Anda inginkan orang lain mencoba SSH), jadi Anda menambahkan catatan DNS yang bernama sesuatu seperti ini:
private-AGhR9xJPF4.example.com
Apakah ini akan "disembunyikan" untuk semua orang kecuali mereka yang tahu URI yang tepat untuk subdoman? Atau, adakah cara untuk "daftar" semua subdomain terdaftar dari domain tertentu?
domain-name-system
security
subdomain
IQAndreas
sumber
sumber
Jawaban:
Apakah ada semacam permintaan "subdomain listing" untuk DNS?
Tidak ada permintaan untuk tujuan khusus ini, tetapi ada beberapa metode tidak langsung.
AXFR
). Sebagian besar operator server mengunci transfer zona ke alamat IP tertentu untuk mencegah pihak yang tidak terafiliasi mengintip.NSEC
permintaan berulang dapat digunakan untuk berjalan di zona tersebut .NSEC3
diimplementasikan untuk membuat zona berjalan lebih intensif secara komputasi.Ada juga trik yang akan memberi tahu seseorang jika subdomain sewenang-wenang ada.
Dalam contoh di atas,
www
terletak di dalamsub
. Kueri untuksub.example.com IN A
tidak akan mengembalikan bagian JAWABAN, tetapi kode hasil akan menjadi NOERROR bukan NXDOMAIN, mengkhianati keberadaan catatan lebih jauh di bawah pohon. (Hanya tidak apa nama catatan itu)Haruskah kerahasiaan catatan DNS dapat diandalkan?
Tidak. Satu-satunya cara untuk secara andal menyembunyikan data dari klien adalah memastikan bahwa data tersebut tidak akan pernah dapat memulainya. Asumsikan bahwa keberadaan catatan DNS Anda akan menyebar di antara siapa pun yang memiliki akses ke sana, baik dari mulut ke mulut atau dengan mengamati paket-paket.
Jika Anda mencoba menyembunyikan catatan dari klien DNS yang dapat dirutekan, You're Doing It Wrong ™ . Pastikan data hanya terpapar ke lingkungan yang membutuhkannya. (Yaitu, gunakan domain yang dirutekan secara pribadi untuk IP pribadi) Bahkan jika Anda memiliki divisi yang diatur, anggaplah bahwa pengetahuan tentang alamat IP akan tersebar di sekitar.
Fokus pada keamanan harus pada apa yang terjadi ketika seseorang mendapatkan alamat IP, karena itu akan terjadi.
Saya sadar bahwa daftar alasan kerahasiaan alamat IP yang menjadi impian pipa dapat diperluas lebih jauh. Pemindaian IP, rekayasa sosial ... daftarnya tidak ada habisnya, dan saya kebanyakan berfokus pada aspek protokol DNS dari pertanyaan ini. Pada akhirnya, semuanya jatuh di bawah payung yang sama: seseorang akan mendapatkan alamat IP Anda .
sumber
Tergantung.
Jawaban Andrew B tepat, ketika Anda mendaftarkan subdomain di zona DNS publik yang juga menampung catatan MX perusahaan Anda dan situs web publik misalnya.
Sebagian besar perusahaan akan memiliki server DNS internal, tidak tersedia untuk umum di mana Anda akan mendaftarkan nama host untuk host ( rahasia ) internal Anda .
Metode yang disarankan adalah mendaftarkan domain khusus untuk penggunaan internal, atau sebagai alternatif membuat subdomain di domain utama Anda untuk penggunaan internal.
Tetapi secara teknis Anda juga menggunakan domain utama Anda dengan membuat tampilan internal pada domain Anda, di mana tergantung pada asal klien DNS, versi alternatif dari zona DNS akan terlihat.
sumber