DMZ -> DNS resolution -> PROD

[toao 4]

Hi an alle,

 

folgende Anfrage aus dem business liegt mir vor: In einer DMZ (basierend auf ADDS) wird von den dort laufenden Diensten, Softwarelösungen, ... eine DNS Namensauflösung von Hostnamen benötigt, die sich in der Produktion (basierend auf ein eigentständiges ADDS)  befinden. Mir fallen folgende Optionen ein - *ohne Bewertung hinsichtlich Aufwand, Sicherheit,...*:
 

- DNS Proxy (z.B. Firewall)

- Eingeschränktes (nur die DMZ Dienste, Softwarelösungen,.., die es brauchen) DNS port opening von DMZ zu PROD

- Conditional Forwarder der DMZ DNS Server (Windows DNS Rolle) konfigurieren inkl. port opening

- HOSTS Datei der DMZ Systeme nutzen

- Auf den DNS Server (Windows DNS Rolle) der DMZ die DNS Zone der Produktion erstellen und pflegen

- DNS zone transfer von Produktion zur DMZ

 

Mir ist bewusst, dass viele dieser Ansätze problematisch sind - sei es aus Sicherheitsgründen oder wegen des Pflegeaufwands und weiteren Gründen. Undabhängig davon interessiert mich, welchen Ansatz ihr in solchen Fällen verfolgt und natürlich das "warum?".

 

Grüße,

toao

[cj_berlin 1.508]

Moin,

 

ich bin bereit zu wetten, dass die DMZ nicht jeden einzelnen Host in Prod braucht, sondern nur eine kleine Auswahl. Die kannst Du manuell oder per Skript pflegen. Solange die Kommuinikation von Prod nach DMZ initiiert wird, ist es nicht problematisch.

Wenn DMZ tatsächlich *jeden* Host in Prod auflösen muss, hast Du ein Architektur-Problem, und DNS ist vermutlich die kleinste Deiner Sorgen.

[toao 4]

Hi,

nicht jeden ist richtig. Mittlerweile so viel das ich nach einer alternative zu "manuell" geschaut habe.