[GTER] DNS externo apontando para IP interno
Marcelo Moura
marcelo.moura at gmail.com
Wed Nov 7 19:28:52 -02 2012
Pensando somente nas melhores praticas de segurança, nao recomendo que o
dns server externo possua apontamentos para endereços internos. A questao
nao se limita a resoluçao de nomes, pois um firewall com dns doctoring
resolveria o problema. O ponto eh que qualquer maquina comprometida no
mesmo perimetro, ou mesmo o comprometimento do dns server, permitiria a
obtençao do endereçamento interno.
Um problema que enxergo na sua pergunta eh que manter um dns server interno
apenas para maquinas de teste praticamente nao gera overhead operacional,
mas mesmo assim desejam faze-lo. Caso tenham considerado a reduçao do
overhead mais importante que a segurança, eh possivel garantir com 100% de
certeza que os servidores de teste nao possuem nenhum serviço usado pela
produçao? Ou que nunca possuirao? Ou que outros endereços internos (nao
relacionados ao ambiente de teste) nao serao incluidos no dns externo a
qualquer momento?
Considerando a reduçao de risco e o fato que instalar o serviço e
configura-lo/administra-lo eh tarefa trivial que nao gera overhead,
recomendo o uso de um dns interno resolvendo nomes internos separado do dns
externo.
Abraços,
--
Atenciosamente,
Marcelo Moura,
MBA, CISSP-ISSAP, ISSMP, CSSLP, CISA, CISM, CGEIT, CRISC, CBCP, SBCI, CCSK
Em 07/11/2012 18:55, "Marcelo Gardini do Amaral" <mgardini at gmail.com
>escreveu:
Eu já não gosto de rewrite de DNS. Não considero uma boa prática.
2012/11/7 Douglas Fischer <fischerdouglas at gmail.com>
> Discordo sobre o uso de views se o seu fir...
--
Marcelo Gardini do Amaral
www.spin.blog.br
--
$>cd /pub
$>more beer
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list