パブリックDNSで内部IPを使用する場合のセキュリティリスク
スタッフが内部的にアクセスし、内部DNSがweb.company.comをサーバーのLAN IPに解決するオフィスネットワーク内のWebサーバー。
一般に、company.comネームサーバーは、メインの会社のWebサイトがホストされているパーティホスティング会社に属しており、web.company.comレコードはありません。
ここで、web.company.comに外部からもアクセスできるようにする場合は、VPNを持つスタッフのみがアクセスできるように、AレコードにLAN IPを公開しても問題ありませんとします。または、web.company.comをオフィスネットワークの外部アドレスに解決し、ファイアウォールを使用してLAN IPにルーティングする必要がありますか?
パブリックDNSエントリにプライベートIPを含めることは、攻撃者になる可能性があるため、理想的ではありません。
- 内部サブネットが何かを示します。
- 特定の内部リソースの実際のIPアドレス。
どちらも直接的な侵害につながる可能性は低いですが、攻撃を支援したり、前方への侵害を助長したりできます。
一般的に言えば、内部ネットワークとそれにホストされているリソースに関する情報の漏洩は回避する必要があります。
あなたの質問から、内部リソースはVPNユーザーのみを対象としているようですので、VPNユーザーがこれにアクセスできる内部DNSを用意する方が適切かもしれません。
パブリックDNSレコードにプライベート/ LAN IPアドレスを使用する別のリスクがあります。
LANにweb.company.comを使用するラップトップユーザーがいるとします(たとえば、192.168.178.10に解決されます)。
このユーザーがラップトップを別のネットワーク(wifi!)に接続し、web.company.comを使用しようとすると、パブリックDNSエントリを使用して192.168.178.1に解決されます。 IPアドレス192.168.178.10が、この外部ネットワーク上のマシンに対応している可能性があります。ラップトップは、このマシンに情報を送信します。これには、プレーンテキストの認証情報、Cookie、またはその他のデータが含まれる場合もあります。
LANの詳細な知識を使用して、一種のハニーポットをセットアップすることも可能かもしれません。
アーキテクチャーと提案されたアーキテクチャーの説明は少し混乱します。内部IPアドレスのDNSを公開DNSに公開すると、ネットワークまたはVPN上の人だけが到達できるようになります。外部の当事者はweb.company.comを検索して172.168.1.10を取得できますが、外部の当事者はそのサーバーにトラフィックをルーティングできません。トラフィックは172.168.1.10に送られる可能性がありますが、適切なサーバーではありません。彼らがいるネットワークには、同じIPアドレスを使用するサーバーがあるかもしれません。
内部サーバーに実際のIPを使用し、ルーターにトラフィックを(適切なアクセス制限付きで)内部サーバーにリダイレクトさせる方がよい場合があります。ネットワークチームに相談してください。
セキュリティの観点からは、内部IPを外部に公開することは素晴らしいことではありませんが、恐ろしいことではありません。脆弱なボーダーサービスを利用して、外部から内部リソースを攻撃しようとしているユーザーを支援する可能性があります。通常の商用ネットワークでは問題ありませんが、ペースメーカーや起動コードを保護する必要はありません。