办公网络内的 Web 服务器,供员工在内部访问,内部 DNS 将 web.company.com 解析为服务器的 LAN IP。
公开地,company.com 名称服务器属于托管公司主要网站的派对托管公司,并且没有 web.company.com 记录。
现在如果 web.company.com 也应该可以从外部访问,可以在 A 记录中公开我们的 LAN IP,这样只有拥有 VPN 的人员才能访问;或者 web.company.com 是否应该解析为办公网络外部地址并使用防火墙路由到 LAN IP?
将私有/LAN IP 地址用于公共 DNS 记录还有另一个风险。
假设您的 LAN 中有一个笔记本电脑用户,他使用web.company.com(例如解析为192.168.178.10)。
如果此用户将他的笔记本电脑连接到另一个网络(wifi!),并尝试使用web.company.com,它将解析为192.168.178.1使用公共 DNS 条目。IP 地址可能与此外192.168.178.10部网络上的计算机相对应。然后,笔记本电脑将向这台机器发送信息,其中甚至可能包括纯文本凭据、cookie 或其他数据。
甚至可以使用 LAN 的一些详细知识来设置一种蜜罐。
在公共 DNS 条目中包含私有 IP 并不理想,因为它为潜在的攻击者提供了:
两者都不太可能导致直接妥协,但可以协助攻击或促进进一步的妥协。
一般来说,应该避免泄露有关您的内部网络和托管在其上的资源的信息。
从您的问题来看,内部资源似乎仅适用于 VPN 用户,因此拥有一个 VPN 用户可以访问的内部 DNS 可能更合适,这样可以避免在公共 DNS 记录中包含“敏感”信息的任何问题。
您对架构和提议的架构的描述有点令人困惑。如果您在面向公众的 DNS 上发布内部 IP 地址的 DNS,那么只有您的网络或 VPN 上的人才能访问它。外部方将能够查找 web.company.com 并取回 172.168.1.10,但他们所在的网络将无法将流量路由到该服务器。流量可能会流向 172.168.1.10,但它不会是正确的服务器。他们所在的网络可能有一台使用相同 IP 地址的服务器。
您最好为内部服务器使用真实 IP,并让路由器将流量引导回内部服务器(具有适当的访问限制)。与您的网络团队交谈。
就安全性而言,将内部 IP 暴露在外部并不是很好,但这并不可怕。它可能会帮助那些试图通过利用易受攻击的边界服务从外部攻击内部资源的人。可以用于常规商业网络,但不能用于保护我的起搏器或启动代码。