DNS v DMZ?

DNS v DMZ?
« kdy: 18. 03. 2021, 20:14:52 »
Ahoj,

rád bych Váš názor na otázku, jestli má být server v DMZ (z pohledu security) schopen resolvovat interní zóny a proč?

Díky za reakce.

CZmok
« Poslední změna: 18. 03. 2021, 20:18:52 od CZmok »


Re:DNS v DMZ?
« Odpověď #1 kdy: 18. 03. 2021, 21:12:17 »
Resolvovat interní zóny může server běžící v DMZ potřebovat z následujících důvodů:
1) pokud potřebujete, aby stroje z DMZ navazovaly spojení do vnitřních sítí (skrz jednotlivě otevřené díry ve firewallu) na cíle udávané doménovým jmenem
2) pokud považujete za žádoucí, aby služby běžící na serveru byly schopné provádět reverzní DNS dotazy ("PTR") na IP adresy klientů z privátních sítí, kteří se připojují na služby běžící v DMZ.

Některý serverový software je by default nastavený, že pokud nefunguje reverzní DNS, tak služba buď hází chyby, odmítá klienty, nebo třeba trvá neúměrně dlouho, než "ťukajícího" klienta přijme apod. Ovšem z hlediska bezpečnostního je možná vhodnější, reverzní překlad v takové službě konfiguračně vypnout (a obejít se bez DNS jmen v logách apod.) než kvůli tomu dovolit DMZ, aby se vyptávala na věci z vnitřní sítě.
Toto na pozadí "least privilege".

Dál je to o detailech... co všechno v té DMZ běží, co je tam napadnutelné, co běží ve vnitřní síti, jestli je taková informace k něčemu užitečná = zvážit jak moc chci být vlastně paranoidní :-)

Re:DNS v DMZ?
« Odpověď #2 kdy: 18. 03. 2021, 21:35:11 »
To nezávisí na bezpečnostním pohledu. Záleží na tom, zda tam ty záznamy potřebujete překládat nebo ne, tj. zda je tam používáte. Pokud v DMZ používáte něco z interní zóny, DNS bych tam překládal – lepší, než tam mít napevno IP adresy.

Re:DNS v DMZ?
« Odpověď #3 kdy: 19. 03. 2021, 08:08:20 »
Interni zony muzou byt klidne i v public dns.

Pokud k nim nechcete dat pristup, tak proste nastavte acl tak, aby interni domeny/subnety mohly rezolvovat pouze definovane subnety.

Re:DNS v DMZ?
« Odpověď #4 kdy: 19. 03. 2021, 10:55:41 »
Interni zony muzou byt klidne i v public dns.
Jenom bych upřesnil, že jakési zastaralé RFC říká, že by ve veřejném DNS neměly být IP adresy z privátních rozsahů. Některé DNS resolvery překlad takových adres blokují – mám pocit, že je to výchozí nastavení třeba Knot DNS resolveru. Ve vlastní síti si to ošéfujete, ale mohou to blokovat i veřejné resolvery. Google, IBM ani Cloudflare to neblokují, ale ODVR od CZ.NICu to dříve blokovaly. Jestli se nemýlím, tak už to ale také neblokují.

Já jsem také pro uvádění interních zón ve veřejném DNS, např. to výrazně usnadní získávání důvěryhodných certifikátů. Jen jsem chtěl doplnit, že to nemusí být vždy bez problémů.


Re:DNS v DMZ?
« Odpověď #5 kdy: 20. 03. 2021, 12:07:19 »
Díky za reakce a názory.

Používat IP adresy namísto jmen mě tedy ani nenapadlo. :-) Dá se samozřejmě udržovat omezený seznam překladů v /etc/hosts i s prázdným /etc/resolv.conf a překládat budu, co potřebuji. Já potřebuji řešit "chytřejší" DNS, ne jen jméno <==> IP, například srv záznamy, DNS balancing, ...

Nicméně nechtěl jsem řešit konkrétní věc, zajímal mě Váš názor na obecnou problematiku povolení resolvování v DMZ z bezpečnostního pohledu. Případně, jak to řešíte Vy?

Případně, jestli na toto není nějaký předpis od CIS, RFC cokoli?

Díky


Re:DNS v DMZ?
« Odpověď #6 kdy: 20. 03. 2021, 13:46:38 »
Díky za reakce a názory.

Používat IP adresy namísto jmen mě tedy ani nenapadlo. :-) Dá se samozřejmě udržovat omezený seznam překladů v /etc/hosts i s prázdným /etc/resolv.conf a překládat budu, co potřebuji. Já potřebuji řešit "chytřejší" DNS, ne jen jméno <==> IP, například srv záznamy, DNS balancing, ...

Nicméně nechtěl jsem řešit konkrétní věc, zajímal mě Váš názor na obecnou problematiku povolení resolvování v DMZ z bezpečnostního pohledu. Případně, jak to řešíte Vy?

Případně, jestli na toto není nějaký předpis od CIS, RFC cokoli?

Díky

Já pořád nechápu, co chcete na povolování řešit z bezpečnostního pohledu. Buď v DMZ názvy překládat nepotřebujete, pak je samozřejmě z bezpečnostního hlediska lepší tam překlad nemít. Nebo tam překládat potřebujete. Pak je ale otázka, jak to vyřešit bezpečně. Otázka zda to dělat už je zodpovězená v zadání, že to potřebujete dělat.

Obecně se k tomu vašemu dotazu dá napsat akorát to, že pokud to nemusíte povolovat, nepovolujte to, a pokud to musíte povolovat, povolte to. RFC na tuhle jednu větu samozřejmě není. Vy ale pravděpodobně řešíte konkrétní problém, tak by bylo lepší zeptat se na ten konkrétní problém než se ptát tak obecně, že ta otázka nedává smysl.

Re:DNS v DMZ?
« Odpověď #7 kdy: 20. 03. 2021, 14:14:25 »
Obecně se k tomu vašemu dotazu dá napsat akorát to, že pokud to nemusíte povolovat, nepovolujte to, a pokud to musíte povolovat, povolte to. RFC na tuhle jednu větu samozřejmě není. Vy ale pravděpodobně řešíte konkrétní problém, tak by bylo lepší zeptat se na ten konkrétní problém než se ptát tak obecně, že ta otázka nedává smysl.

:-) Konkrétní věc/problém dokážu pořešit spousty způsoby, v tom problém není.

Skutečně mě zajímal názor lidí tak jak jsem ho napsal. Znám strůvky lidí, kteří by v DMZ až ortodoxně resolving nepovolovali za nic na světe, pak znám lidi, kterým to je jedno a nevidí v tom ani v případě napadení daného serveru bezpečnostní riziko pak další ostrůvky a další...

Pokud k danému tématu není co dodávat, nemusíme zde šlapat vodu. Já řešení mám, jen mě zajímal názor ostatních, toď vše.