[GTER] DNS externo apontando para IP interno

Douglas Fischer fischerdouglas at gmail.com
Thu Nov 8 09:59:07 -02 2012


Sinceramente não acho que o impacto de performance do rewrite
(inspeção de DNS replys e reescrição de pacotes)
faça cócegas se comparado ao impacto que o trafego
desnecessário passante pelo firewall tem na caixa.


Tivemos uma experiência salvadora com esse recurso.

Na verdade nada de mais analisando o "depois de resolvido"...
Uma empresa com com um par de Cisco ASA ATOLADASSO.

Já tinham colocado 4 Gigabit Ethernet em dois LACP(duas para dentro e
duaspra fora)
e isso só fez e dar mais espaço para o monstro crescer.

Meia hora de análise do ambiente, roteamento/regras/nat.
Mais uns 15 minutos de coleta de netflow.
Foram suficiente para confirmar que maquinas internas estavam indo ao
firewall
para fazer NAT e acessar os sevidores de aplicação via NAT na DMZ.

Marquei o checkbox do rewrite naquele NAT
e em minutos o processamentos da caixa saiu de 80-90% para 15-20%.


Em 7 de novembro de 2012 23:13, Michel L. M. B. Perez <
michelmbperez at gmail.com> escreveu:

> Eu ia dar a opção do dns rewrite mas o Douglas já o fez hehe,  apesar de
> que dependendo do volume de tráfego e do firewall em questão,  pede sentar
> a caixa,  se vc tem tempo use views no dns e como solução paliativa pode
> usar o dns rewrite temporariamente até as views estarem prontas...
> Em 07/11/2012 20:06, "Marcelo Moura" <marcelo.moura at gmail.com> escreveu:
>
> > Pensando somente nas melhores praticas de segurança, nao recomendo que o
> > dns server externo possua apontamentos para endereços internos. A questao
> > nao se limita a resoluçao de nomes, pois um firewall com dns doctoring
> > resolveria o problema. O ponto eh que qualquer maquina comprometida no
> > mesmo perimetro, ou mesmo o comprometimento do dns server, permitiria a
> > obtençao do endereçamento interno.
> >
> > Um problema que enxergo na sua pergunta eh que manter um dns server
> interno
> > apenas para maquinas de teste praticamente nao gera overhead operacional,
> > mas mesmo assim desejam faze-lo. Caso tenham considerado a reduçao do
> > overhead mais importante que a segurança, eh possivel garantir com 100%
> de
> > certeza que os servidores de teste nao possuem nenhum serviço usado pela
> > produçao? Ou que nunca possuirao? Ou que outros endereços internos (nao
> > relacionados ao ambiente de teste) nao serao incluidos no dns externo a
> > qualquer momento?
> >
> > Considerando a reduçao de risco e o fato que instalar o serviço e
> > configura-lo/administra-lo eh tarefa trivial que nao gera overhead,
> > recomendo o uso de um dns interno resolvendo nomes internos separado do
> dns
> > externo.
> >
> > Abraços,
> >
> > --
> > Atenciosamente,
> >
> > Marcelo Moura,
> > MBA, CISSP-ISSAP, ISSMP, CSSLP, CISA, CISM, CGEIT, CRISC, CBCP, SBCI,
> CCSK
> >
> > Em 07/11/2012 18:55, "Marcelo Gardini do Amaral" <mgardini at gmail.com
> > >escreveu:
> >
> > Eu já não gosto de rewrite de DNS. Não considero uma boa prática.
> >
> >
> >
> > 2012/11/7 Douglas Fischer <fischerdouglas at gmail.com>
> >
> > > Discordo sobre o uso de views se o seu fir...
> > --
> > Marcelo Gardini do Amaral
> > www.spin.blog.br
> >
> > --
> > $>cd /pub
> > $>more beer
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list