Можно ли использовать публичный DNS-хостинг для размещения на домене поддоменов, ведущих на внутренние IP серверов?
Например, есть example.com и нужно:
server1.example.com -> 192.168.1.1
server2.example.com -> 192.168.1.2
и так далее.
Разумеется, глобальный доступ к серверам не нужен, наоборот - недопустим. Цель - иметь DNS, который будет доступен из любого филиала фирмы с любым интернет-каналом и роутером без необходимости доп. настроек. И получить прописывание имени хоста вместо IP для удобства.
Какие могут быть подводные камни и как тут с безопасностью? Понятно, что любой тогда сможет получить серые IP серверов, которые вообще никак не должны быть доступны из вне, что это ему даст в плане хакерской атаки?
Это ему даст информацию о внутреннем составе инфраструктуры сети и ее адресах. Если хакер закрепился на одном сервере - ему не надо искать дальнейшие цели, он их уже знает. Это сокращает время, которое есть у Вас на то, чтобы атаку отбить.
Это примерно как вывешивать на двери квартиры - ее план и перечень бытовой техники внутри :)
Правильный вариант, все таки использовать внутренний DNS. На большинстве роутеров можно добавлять статические DNS записи, если это бытовые роутеры и их много то обслуживать этого зоопарка - это отдельный геморой.
Путь самурая. Можно поднять внешний DNS с поддержкой TLS, на клиентах настроить NRPT политику (это касается windows) и будет безопасно, но геморно обслуживать.
Или твой вариант, работать будет, но с точки зрения безопасности это не красивая дырочка, но очень удобно в обслуживании.
Лично я давно перешел на клиентские сертификаты (намного удобнее чем VPN) и теперь не боюсь публиковать web сервисы.
Понятно, что любой тогда сможет получить серые IP серверов, которые вообще никак не должны быть доступны из вне, что это ему даст в плане хакерской атаки?
Прямо так и любой. Для этого ему сначала надо узнать о самом существовании поддоменов, не говоря уже об их именах.
Можно, но не нужно. Как раз из-за безопасности.
Используйте split dns, если позволяет инфраструктура, либо ведите двойные записи в зоне во внешних и внутренних DNS серверах.
со split-dns могут быть траблы:
юзер подключается по vpn к офису, ему честно анонсятся "внутренние" DNS, но вот часть броузеров для пущей секурности вдруг юзают secure dns и т.п. - то бишь свои DNS и начинается веселуха с "почему у меня с подключенным vpn вместо интрасайта публичная заглушка?"
Alexey Dmitriev, это в совсем кровавом энтерпрайзе с выдачей корпоративных устройств и т.п.
А корпорации помельче чаще юзают BYOD со всеми вытекающими nonAD и зоопарком броузеров.
Чем больше знаю, тем лучше понимаю, как мало знаю.
А смысл? Обычно делают server1.org-name.local на DNS-сервере, который доступен только внутри самой локальной сети. Но сделать можно, работать будет, и для всех филиалов, ага. Но пять-же какой смысл? Если трафик ходит до 192.168.1.X, то поставить там ещё и локальный DNS, и пусть все пользуются.
Да, еще забыл указать, что у некоторых сотрудников есть ВПН до офисной сети. Им тоже локальный DNS не поставить, вообще не отконфигурировать ничего. Пока выхожу из положения IP-адресами
Смотрите, у вас все равно адрес, который вы собираетесь отдавать, указывает во внутреннюю сеть - так что без доступа к оной филиалов даже нахождение адресов снаружи вам никак не поможет. Поэтому правильней вам будет создать на своем dns т.н. view - области видимости, когда клиентам разных сетей dns сервер отдает разные данные. и разделить клиентов - из внутренней сети и из интернета.