スプリットDNS は、ソースIPに応じて異なる結果を返します。
これは一般的に、列挙と発見を制限するために、内部リソースの重要なセキュリティ対策として宣伝されています。
これまで、分割DNSには、TTLを適切に考慮しないプログラムで多くの問題がありました。彼らは長い間解決をキャッシュし、DNSは一貫性がない(つまり、私のソースIPに依存している)ため、壊れます。たとえば、WindowsとChromeにはそれぞれ問題があります。
スプリットDNSのセキュリティ値について疑問に思っています。 DNSはテキスト名をIPアドレスにマッピングするだけです。攻撃者はIPよりもホスト名を列挙する方が簡単ですか?インターネットアドレスは秘密にする必要がありますか?ソースIPでブロックするファイアウォールがあっても、スプリットDNSはまだ価値がありますか?
スプリットDNSは実際のセキュリティをどの程度提供しますか?
標的型攻撃の最初の部分(つまり、ネットワークに侵入すること)は、標的について可能な限り調べることです。企業が内部ネットワークで公開ドメインと同じドメイン名を使用することは非常に一般的です。ホストの名前がその目的を説明することも非常に一般的です。
スプリットDNSを使用しない場合は、ドメイン内のすべてのホストに関する情報を1か所の公共の利用可能な場所で公開することになります。これらの公開された情報は、ホストの名前と内部で使用されているIPアドレスを明らかにし、企業のインフラストラクチャについて攻撃者に多くの情報を提供する可能性があります。
DNSはテキスト名をIPアドレスにマッピングするだけです。
内部ホストのこれらのマッピングを知っている場合に攻撃者が実行できる1つの例:
要約すると、ターゲットについての知識が多ければ多いほど、妥協できるようになります。スプリットDNSは、すべてのデータ漏洩から保護するための究極のソリューションではありませんが、データの少なくとも一部を保護するのに役立ちます。したがって、それは徹底的な防御の一部です。
これまで、分割DNSには多くの問題がありましたが、プログラムはttlを適切に尊重していませんでした。彼らは長い間解決をキャッシュし、DNSは一貫性がない(つまり、私のソースIPに依存している)ため、壊れます。
保護された企業ネットワークと保護されていないインターネットの両方で同じシステム(ノートブックまたはモバイル?)を使用しているようです。これは、マルウェアが企業ネットワークに移動するための簡単な方法を提供するため、非常に悪い考えです。安全な方法は、代わりに会社のノートブックを直接インターネットに接続せずに、DNSルックアップを含め、会社のネットワークを介してすべてをトンネリングする外部のときにのみVPNを使用することです。また、プライベートハードウェアは保護された企業ネットワークに接続してはならず、企業内で使用する場合は別のネットワーク内に含める必要があります。この方法で使用した場合、同じシステムで外部DNS設定と内部DNS設定を切り替えることはないため、スプリットDNSの問題も発生しません。
スプリットホライズンDNSは悪い考えです。それは基本的にDNSSECを確実に実装することを不可能にします(回避策はありますが、すべて不十分です)。
スプリットホライズンDNSの主な利点は、内部ネットワークを非表示にできることですが、サブドメインを作成し、そのSOAサーバーにパブリックネットワークからアクセスできないようにすることで、同じことが実現できます。 。
したがって、スプリットホライズンDNSではpayroll.bigcorp.comを使用し、安全なサブドメインではpayroll.i.bigcorp.comを使用します。しかし、サブドメインがあれば、実際にDNSSECを有意義に使用できます。
議論されていないスプリットDNSのもう1つの利点は、再帰です。内部DNSサーバーが再帰的な検索を実行できないようにすることをお勧めします。彼らは脆弱性を悪用する応答を受け取り、侵害されたままになる可能性があります。したがって、このタスクをオフロードして、別のDNSサーバーまたは公開されているDNSサーバーを分離します。これは、多層防御を適用し、インフラストラクチャの回復力を高めるための優れた方法です。