Jump to content
Sign in to follow this  
JamesKirk

DNS - Root Server

Recommended Posts

Hallo,

 

ich habe heute mit einem Kollegen gesprochen -> DNS.

 

Dabei hatten wir ein Streitthema: Darf ich Root-Server Einträge als "Weiterleitung" missbrauchen. Er sagte, in irgend einem Cheater - Programm wurde gesagt, ich soll die Root - Einträge anstatt einer Weiterleitung benutzen.

 

Beispiel: Ich habe ein "Inneres" und ein "Äusseres" Netzwerk, beide Netze haben DNS - Serverdienste am laufen.

 

Nun soll ich sicherstellen, das von Aussen keiner in mein Internes Netzwerk kommen kann, die Jungs von Innen sollen aber den äusseren Server als "Internet - Auflöseserver" verwenden.

 

Für mich easy: Zonenübertragung an dem äusseren Server abschalten, sichert die Gefahr von "Zonenklau". Im Internem Netz werde ich eine bedingte Weiterleitung an den äusseren Server geben, falls ich noninternal Names auflösen will.

 

Kollege sagt: Nix, der Externe Server soll als Root - Server eingetragen werden.

 

Ist das wirklich so?

 

Was ist eigentlich, wenn der externe und der interne Namensraum gleich ist? Solche gemeinen Fragen kommen doch nicht dran, oder?

 

gruß

 

MAQ

Share this post


Link to post
Share on other sites
Kollege sagt: Nix, der Externe Server soll als Root - Server eingetragen werden.

 

Ich bin mir noch nicht ganz sicher, was warum gemacht werden soll. Eigentlich wird eine Weiterleitung eingerichtet (keine bedingte Weiterleitung) und dann ist gut. Was genau meinst Du mit "als ROOT-Server". Wenn Du wirklich die ROOT-Einträge meinst, dann würde mich mal interessieren, warum man das machen sollte. Macht ja überhaupt keinen Sinn. Dort sollten nur die ROOT-Server drin stehen (was ja auch den Namen erklärt).

Die Zonenübertragung ist eigentlich irrelevant, da die DNS-Server eigentlich auf Abfragen von extern eh nicht erreichbar sein sollten.

Share this post


Link to post
Share on other sites

Hi,

 

also das mit den Root Servern macht in meinen Augen auch keinen Sinn - bin mir nicht mal sicher ob das funktionieren würde.

 

Zonenübertragungen sollten immer (auch im internen Netz) auf berechtigte Server eingeschränkt werden /sein. Zudem solltest du sicherstellen, dass auf dem externen DNS nur die Einträge verwaltet werden, die dort auch hin gehören (also keine internen).

 

Viele Grüße

Share this post


Link to post
Share on other sites

Nö,

 

die Rootserver würden nicht funktionieren. Die Auflösung mit den Rootservern ist iterativ, sprich, dein interner DNS würde von dem externen nur ein weiterer DNS geliefert kriegen. Damit dein interner diesen erreichen kann, müsstest du DNS ins Internet insgesamt erlauben. Dann könntest du gleich die offiziellen DNS Rootserver drinlassen.

 

Weiterleitung funktioniert rekursiv, sprich der interne stellt eine Anfrage an den externen und dieser erledigt alle weiteren Aufrufe, bis er das Ergebnis liefern kann. Vorteil: es reicht den DNS Port zum externen DNS aufzumachen und nicht zu allen.

 

Grob gesagt verhält sich ein DNS, der Forwarding macht also wie ein DNS Client.

 

Siehe auch:

 

Microsoft Corporation

Microsoft Corporation

Share this post


Link to post
Share on other sites

Doch, das würde funktionieren, zumindest, wenn beide DNS Microsoft 2003 DNS sind (mit anderen habe ich das nicht gestestet).

 

Aber der Sinn erschließt sich mir nicht. Der interen DNS würde sich, wie Woiza schon schrieb, iterativ durch die ganzen DNS des angefragten Namenspfades im Internet fragen. Dazu muss der interne DNS natürlihc per FW-Rule generell mit UDP 53 in ganze INternet gelassen werden. Worin hier jetzt der "Sicherheitsgewinn" liegen soll, entzieht sich meiner Kenntnis. :rolleyes:

Da ist es doch besser wie ursprünglich vom TO vorgeschlagen mit einem Forwarding auf den DNS in der DMZ zu arbeiten und die FW-Rule ganz spezifisch dafür einzurichten.

 

Da stammen meines Erachtens wieder mal Aussagen von jemanden, den man gerne mal direkt befragen würde.

 

grizzly999

Share this post


Link to post
Share on other sites

So meinte ich das ja mit dem nicht funktionieren. Bei einem geistig gesunden Firewalladmin würde dies nicht funktionieren. ANsonsten klar. Wir haben bei unseren DCs auch Root Server eingetragen, dies sind parallel laufende BIND Maschinen, die MX Records, Webserver und ähnliches Zeugs zur Verfügung stellen. Da 53 netzintern freigeschalten ist, haben wir uns für die Rootmethode, statt den Forwarders entschieden. Eine DNS Auflösung ins Internet ist weder gewünscht noch implementiert, daher funktioniert das bei einer isolierten DNS Struktur ganz gut.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...