Là bản ghi DNS thông tin cá nhân?

Giả sử bạn muốn tạo một tên miền phụ trỏ đến một vị trí riêng tư (có thể là vị trí của cơ sở dữ liệu hoặc địa chỉ IP của máy tính mà bạn không muốn mọi người thử SSH vào), vì vậy bạn thêm bản ghi DNS có tên gì đó như thế này:

private-AGhR9xJPF4.example.com

Điều này sẽ được "ẩn" cho tất cả mọi người ngoại trừ những người biết URI chính xác cho người phụ? Hoặc, có cách nào để "liệt kê" tất cả các tên miền phụ đã đăng ký của một tên miền cụ thể không?

domain-name-system security subdomain

— IQAndreas
nguồn

Nếu bạn không muốn nó được biết đến hoặc phát hiện ra tại sao bạn lại tạo bản ghi DNS cho nó ngay từ đầu?

— joeqwerty

@joeqwerty Nếu máy chủ sử dụng IP động hoặc nếu tôi muốn thay đổi IP đích sau này, tôi muốn mọi ứng dụng kết nối với máy chủ đó tiếp tục hoạt động mà không cần sửa đổi.

— IQAndreas

Tôi chắc chắn rằng điều này đã được trả lời trong một câu hỏi khác ở đâu đó, nhưng tôi không thể tìm thấy nó bằng một tìm kiếm.

— Andrew B

Lưu ý rằng có rất nhiều kẻ xấu quét toàn bộ không gian IP cho các máy tính mà chúng có thể SSH vào. Nếu có thể truy cập từ internet công cộng, bạn sẽ khiến mọi người đập vào cổng SSH.

— pjc50 ngày

Giải pháp thực sự cho vấn đề của bạn là tường lửa và VPN.

— josh3736

Câu trả lời:

Có một số loại truy vấn "danh sách tên miền phụ" cho DNS?

Không có truy vấn cho mục đích cụ thể này, nhưng có một vài phương pháp gián tiếp.

Chuyển vùng không tăng ( AXFR). Hầu hết các nhà khai thác máy chủ khóa chuyển vùng theo địa chỉ IP cụ thể để ngăn chặn các bên không liên lạc rình mò xung quanh.
Nếu DNSSEC được bật, NSECcác yêu cầu lặp có thể được sử dụng để đi bộ trong khu vực . NSEC3đã được thực hiện để làm cho khu vực đi bộ chuyên sâu hơn tính toán.

Ngoài ra còn có một mẹo sẽ cho ai đó biết nếu một tên miền phụ tùy ý tồn tại.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

Trong ví dụ trên, wwwnằm trong sub. Một truy vấn sub.example.com IN Asẽ không trả về phần ANSWER, nhưng mã kết quả sẽ là NOERROR thay vì NXDOMAIN, phản bội sự tồn tại của các bản ghi ở dưới gốc cây. (không phải những gì các hồ sơ được đặt tên)

Có nên dựa vào tính bảo mật của các bản ghi DNS không?

Không. Cách duy nhất để ẩn dữ liệu khỏi máy khách một cách đáng tin cậy là đảm bảo rằng nó không bao giờ có thể lấy dữ liệu để bắt đầu. Giả sử rằng sự tồn tại của các bản ghi DNS của bạn sẽ được lan truyền trong số những người có quyền truy cập vào chúng, bằng lời nói hoặc bằng cách quan sát các gói tin.

Nếu bạn đang cố gắng ẩn các bản ghi khỏi máy khách DNS có thể định tuyến, bạn đang làm sai . Hãy chắc chắn rằng dữ liệu chỉ được tiếp xúc với các môi trường cần nó. (tức là sử dụng các tên miền được định tuyến riêng cho các IP riêng) Ngay cả khi bạn đã thiết lập một bộ phận như vậy, giả sử rằng kiến thức về các địa chỉ IP sẽ được lan truyền xung quanh.

Tập trung vào bảo mật nên tập trung vào những gì xảy ra khi ai đó lấy địa chỉ IP, vì điều đó sẽ xảy ra.

Tôi biết rằng danh sách các lý do bảo mật địa chỉ IP là một giấc mơ xa vời có thể được mở rộng hơn nữa. Quét IP, kỹ thuật xã hội ... danh sách là vô tận và tôi chủ yếu tập trung vào các khía cạnh giao thức DNS của câu hỏi này. Vào cuối ngày, tất cả rơi vào cùng một chiếc ô: ai đó sẽ lấy địa chỉ IP của bạn .

— Andrew B
nguồn

Nó phụ thuộc.

Câu trả lời của Andrew B là tại chỗ, khi bạn đăng ký tên miền phụ trong vùng DNS công cộng cũng lưu trữ các bản ghi MX của công ty và trang web công cộng chẳng hạn.

Hầu hết các công ty sẽ có một máy chủ DNS nội bộ, không có sẵn công khai nơi bạn sẽ đăng ký tên máy chủ lưu trữ cho các máy chủ ( bí mật ) nội bộ của mình .

Phương pháp được đề xuất là đăng ký một tên miền chuyên dụng để sử dụng nội bộ hoặc thay thế tạo một tên miền phụ trong tên miền chính của bạn để sử dụng nội bộ.

Nhưng về mặt kỹ thuật, bạn cũng sử dụng tên miền chính của mình bằng cách tạo chế độ xem nội bộ trên tên miền của mình, trong đó tùy thuộc vào nguồn gốc của ứng dụng khách DNS, phiên bản thay thế của vùng DNS sẽ hiển thị.

— HBruijn
nguồn