Jump to content

DNS - Root Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe heute mit einem Kollegen gesprochen -> DNS.

 

Dabei hatten wir ein Streitthema: Darf ich Root-Server Einträge als "Weiterleitung" missbrauchen. Er sagte, in irgend einem Cheater - Programm wurde gesagt, ich soll die Root - Einträge anstatt einer Weiterleitung benutzen.

 

Beispiel: Ich habe ein "Inneres" und ein "Äusseres" Netzwerk, beide Netze haben DNS - Serverdienste am laufen.

 

Nun soll ich sicherstellen, das von Aussen keiner in mein Internes Netzwerk kommen kann, die Jungs von Innen sollen aber den äusseren Server als "Internet - Auflöseserver" verwenden.

 

Für mich easy: Zonenübertragung an dem äusseren Server abschalten, sichert die Gefahr von "Zonenklau". Im Internem Netz werde ich eine bedingte Weiterleitung an den äusseren Server geben, falls ich noninternal Names auflösen will.

 

Kollege sagt: Nix, der Externe Server soll als Root - Server eingetragen werden.

 

Ist das wirklich so?

 

Was ist eigentlich, wenn der externe und der interne Namensraum gleich ist? Solche gemeinen Fragen kommen doch nicht dran, oder?

 

gruß

 

MAQ

Link zu diesem Kommentar
Kollege sagt: Nix, der Externe Server soll als Root - Server eingetragen werden.

 

Ich bin mir noch nicht ganz sicher, was warum gemacht werden soll. Eigentlich wird eine Weiterleitung eingerichtet (keine bedingte Weiterleitung) und dann ist gut. Was genau meinst Du mit "als ROOT-Server". Wenn Du wirklich die ROOT-Einträge meinst, dann würde mich mal interessieren, warum man das machen sollte. Macht ja überhaupt keinen Sinn. Dort sollten nur die ROOT-Server drin stehen (was ja auch den Namen erklärt).

Die Zonenübertragung ist eigentlich irrelevant, da die DNS-Server eigentlich auf Abfragen von extern eh nicht erreichbar sein sollten.

Link zu diesem Kommentar

Hi,

 

also das mit den Root Servern macht in meinen Augen auch keinen Sinn - bin mir nicht mal sicher ob das funktionieren würde.

 

Zonenübertragungen sollten immer (auch im internen Netz) auf berechtigte Server eingeschränkt werden /sein. Zudem solltest du sicherstellen, dass auf dem externen DNS nur die Einträge verwaltet werden, die dort auch hin gehören (also keine internen).

 

Viele Grüße

Link zu diesem Kommentar

Nö,

 

die Rootserver würden nicht funktionieren. Die Auflösung mit den Rootservern ist iterativ, sprich, dein interner DNS würde von dem externen nur ein weiterer DNS geliefert kriegen. Damit dein interner diesen erreichen kann, müsstest du DNS ins Internet insgesamt erlauben. Dann könntest du gleich die offiziellen DNS Rootserver drinlassen.

 

Weiterleitung funktioniert rekursiv, sprich der interne stellt eine Anfrage an den externen und dieser erledigt alle weiteren Aufrufe, bis er das Ergebnis liefern kann. Vorteil: es reicht den DNS Port zum externen DNS aufzumachen und nicht zu allen.

 

Grob gesagt verhält sich ein DNS, der Forwarding macht also wie ein DNS Client.

 

Siehe auch:

 

Microsoft Corporation

Microsoft Corporation

Link zu diesem Kommentar

Doch, das würde funktionieren, zumindest, wenn beide DNS Microsoft 2003 DNS sind (mit anderen habe ich das nicht gestestet).

 

Aber der Sinn erschließt sich mir nicht. Der interen DNS würde sich, wie Woiza schon schrieb, iterativ durch die ganzen DNS des angefragten Namenspfades im Internet fragen. Dazu muss der interne DNS natürlihc per FW-Rule generell mit UDP 53 in ganze INternet gelassen werden. Worin hier jetzt der "Sicherheitsgewinn" liegen soll, entzieht sich meiner Kenntnis. :rolleyes:

Da ist es doch besser wie ursprünglich vom TO vorgeschlagen mit einem Forwarding auf den DNS in der DMZ zu arbeiten und die FW-Rule ganz spezifisch dafür einzurichten.

 

Da stammen meines Erachtens wieder mal Aussagen von jemanden, den man gerne mal direkt befragen würde.

 

grizzly999

Link zu diesem Kommentar

So meinte ich das ja mit dem nicht funktionieren. Bei einem geistig gesunden Firewalladmin würde dies nicht funktionieren. ANsonsten klar. Wir haben bei unseren DCs auch Root Server eingetragen, dies sind parallel laufende BIND Maschinen, die MX Records, Webserver und ähnliches Zeugs zur Verfügung stellen. Da 53 netzintern freigeschalten ist, haben wir uns für die Rootmethode, statt den Forwarders entschieden. Eine DNS Auflösung ins Internet ist weder gewünscht noch implementiert, daher funktioniert das bei einer isolierten DNS Struktur ganz gut.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...