Questão Configuração do DNS local e melhores práticas


Recentemente, configurei um servidor PowerDNS + PowerAdmin na minha rede doméstica. Eu configurei isso como uma combinação de servidor DNS + autoritário recursivo apenas para manter as coisas simples para mim. Eu configurei 8.8.8.8 como o recursor.

Confirmei que posso fazer: "cavar google.com @ (ip do servidor dns)" e funciona muito bem.

Meu objetivo basicamente é ser capaz de usar o DNS na minha rede doméstica para as várias vms que estou executando. Vamos usar servidores wiki para este exemplo.

Eu estava originalmente fazendo algo como: wiki01.catpants.lan pelos nomes, mas me disseram que esta é uma má idéia. (usando um tld falso) Então, agora vou comprar um domínio e fazer coisas como o wiki.catpants.com (ou o que eu decido usar).

Então eu tenho algumas perguntas.

  1. É considerado aceitável usar o 8.8.8.8 para o recursor? Eu sei servidores DNS do google são comumente usados, mas eu queria saber se talvez haja uma escolha mais adequada.

  2. Eu quero ser capaz de dizer rapidamente se um servidor é "apenas interno" ou está disponível externamente também. Eu estava pensando em usar outro subdomínio, então seria algo como wiki01.lan.catpants.com para um wiki "somente interno", e wiki02.catpants.com para um wiki disponível externamente. Funcionaria, mas acho que é um pouco feio e requer digitação extra. Ou devo comprar e usar um nome de domínio apenas para uso interno? Parece um desperdício para mim, já que tenho serviços externos que quero executar de qualquer maneira. Veja, usando .lan definitivamente tem algumas vantagens em minha mente. As vantagens são gratuitas e fáceis de saber se um servidor é interno ou externo.

  3. (Questão principal) Eu tenho tentado testar a criação de alguns registros de DNS internos com um domínio que eu já possuo. Chame isso de foo.com. Eu estou usando he.net para os servidores de nomes para foo.com atualmente. Quando tento criar uma zona master para foo.com com poweradmin, ele cria um registro SOA para ele, mas os padrões são: 8.8.8.8 2016081300 28800 7200 604800 86400 IIRC, Ao configurar o poweradmin pela primeira vez, ele me fez uma pergunta sobre algum tipo de padrão (possivelmente relacionado à SOA). Não sabendo o que vai lá, eu acabei de colocar 8.8.8.8 pensando que estava perguntando sobre o recursor. É claro que parece que não há como editar essa configuração agora, então não tenho certeza do que era. Como deve ser o registro SOA?

  4. Devo estar usando o DNSSEC? Eu posso pesquisar sozinho se for considerado "melhor prática".

  5. É possível obter "vazamento"? isto é, acho que, do ponto de vista da segurança, seria bom se os pacotes com meus registros DNS internos nunca fossem roteados na Internet. Se alguém estava capturando todo o tráfego de saída da minha rede, a string "wiki01.lan.catpants.com" deve Nunca aparecem nesse tráfego. Isso poderia ocorrer com essa configuração?

Obrigado!!


0


origem




Respostas:


Por favor, configure serviços DNS separados para clientes internos e externos. Isso pode ser feito com o DNS dividido ou com servidores diferentes. Eu uso as duas opções.

  1. Se você estiver fazendo consultas recursivas, você deve começar com os servidores raiz. Eles devem ser preenchidos a partir do arquivo de dicas. Não forneça este serviço a hosts que se conectam pela Internet. Se você fizer isso, sua largura de banda de rede será usada para criar ataques de amplificação.
  2. Existem vários mecanismos para separar entradas externas e internas. Usando um subdomínio é um deles. Configure esses endereços para que eles não vazem para a internet. Comprar um domínio separado para uso interno é um exagero.
  3. Seu endereço interno não deve estar listado nos servidores de domínio he.net. Os endereços não devem ser válidos na internet e não devem ser servidos por um servidor DNS voltado para a Internet. Crie sua própria zona interna para esses endereços.
  4. Em algum momento você deve usar o DNSSEC. Deixe isso até mais tarde.
  5. Use um endereço IP privado no intervalo 10.0.0./8, 172.16.0.0/12 e 192.168.0.0/16 e o ​​tráfego não será roteado para a Internet. Em qualquer caso, se o servidor DNS e os clientes estiverem na mesma LAN, o tráfego não será roteado entre os servidores pela Internet.

1