Sind DNS-Einträge private Informationen?

Angenommen, Sie möchten eine Unterdomäne erstellen, die auf einen privaten Speicherort verweist (z. B. den Speicherort einer Datenbank oder die IP-Adresse eines Computers, auf dem keine SSH-Versuche durchgeführt werden sollen). Fügen Sie daher einen DNS-Eintrag mit dem Namen "something" hinzu so was:

private-AGhR9xJPF4.example.com

Wäre dies für alle "verborgen", außer für diejenigen, die die genaue URI des Subdoman kennen? Oder gibt es eine Möglichkeit, alle registrierten Subdomains einer bestimmten Domain aufzulisten?

Gibt es eine Art "Subdomain Listing" Abfrage für DNS?

Für diesen speziellen Zweck gibt es keine Abfrage, es gibt jedoch einige indirekte Methoden.

• Eine nicht inkrementelle Zonenübertragung ( AXFR). Die meisten Server-Betreiber sperren Zonenübertragungen an bestimmte IP-Adressen, um zu verhindern, dass nicht verbundene Parteien herumschnüffeln.
• Wenn DNSSEC aktiviert ist, können iterative NSECAnforderungen zum Durchlaufen der Zone verwendet werden . NSEC3wurde implementiert, um das Gehen in Zonen rechenintensiver zu gestalten.

Es gibt auch einen Trick, der jemanden wissen lässt, ob eine beliebige Unterdomäne existiert.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

Im obigen Beispiel wwwliegt innerhalb sub. Eine Abfrage nach sub.example.com IN Agibt keinen ANTWORT-Abschnitt zurück, aber der Ergebniscode ist NOERROR anstelle von NXDOMAIN, was die Existenz von Datensätzen weiter unten im Baum verrät. (Nur nicht, wie diese Datensätze heißen)

Sollte man sich jemals auf die Geheimhaltung von DNS-Einträgen verlassen?

Nein. Die einzige Möglichkeit, Daten zuverlässig vor einem Client zu verbergen, besteht darin, sicherzustellen, dass die Daten nie von Anfang an abgerufen werden. Angenommen, die Existenz Ihrer DNS-Einträge wird auf alle Personen verteilt, die Zugriff darauf haben, entweder durch Mundpropaganda oder durch Beobachtung der Pakete.

Wenn Sie versuchen, Einträge vor einem routingfähigen DNS-Client zu verbergen, tun Sie es falsch . Stellen Sie sicher, dass die Daten nur den Umgebungen ausgesetzt sind, in denen sie benötigt werden. (dh privat geroutete Domains für private IPs verwenden) Auch wenn Sie eine solche Aufteilung eingerichtet haben, gehen Sie davon aus, dass die Kenntnis der IP-Adressen ohnehin verbreitet wird.

Der Schwerpunkt auf Sicherheit sollte darauf liegen, was passiert, wenn jemand die IP-Adresse erhält, da dies passieren wird.

Ich bin mir bewusst, dass die Liste der Gründe für die Geheimhaltung von IP-Adressen, die ein Wunschtraum sind, weiter ausgebaut werden könnte. IP-Scanning, Social Engineering ... die Liste ist endlos, und ich konzentriere mich hauptsächlich auf die DNS-Protokollaspekte dieser Frage. Am Ende des Tages fällt alles unter den gleichen Dach: Jemand wird Ihre IP-Adresse erhalten .

Es hängt davon ab, ob.

Die Antwort von Andrew B ist genau richtig, wenn Sie die Subdomain in der öffentlichen DNS-Zone registrieren, die beispielsweise auch die MX-Einträge und die öffentliche Website Ihres Unternehmens hostet.

Die meisten Unternehmen verfügen über einen internen, nicht öffentlich zugänglichen DNS-Server, auf dem Sie die Hostnamen für Ihre internen ( geheimen ) Hosts registrieren .

Die empfohlene Methode besteht darin, eine dedizierte Domain für den internen Gebrauch zu registrieren oder alternativ eine Unterdomäne in Ihrer primären Domain für den internen Gebrauch zu erstellen.

Technisch gesehen verwenden Sie Ihre primäre Domain jedoch auch, indem Sie eine interne Sicht auf Ihre Domain erstellen, in der abhängig von der Herkunft des DNS-Clients eine alternative Version der DNS-Zone angezeigt wird.