Ich arbeite derzeit in einem Unternehmen, das zwei DNS-Server (ns1 und ns2) hat, die in der DMZ für das Internet geöffnet sind und zwei Zonen hosten: company.org und company.net. In beiden Zonen gibt es Server in der DMZ und im internen LAN, und die Rekursion ist auf dem DNS-Server aktiviert.
Ich dachte daran, Folgendes zu tun: Konfigurieren Sie alle Server in der DMZ so um, dass sie den FQDN server.company.org und im internen LAN server.company.net haben. Und dann haben Sie einen DNS-Server in der DMZ mit nur der company.org-Zone und einen weiteren DNS-Server im internen LAN, der nur die company.net-Zone hostet.
Ist das sinnvoll oder gibt es eine bessere Lösung? Welche DNS-Server-Rekursion muss bei Verwendung dieser Option aktiviert und deaktiviert werden? Und was ist mit der Weiterleitung?
Vielen Dank.
Antwort1
Sie haben Ihre Ziele nicht klar dargelegt, daher ist es schwierig, eine konkrete Empfehlung abzugeben.
Aus Gründen der einfacheren Verwaltung und Sicherheit ist es jedoch von Vorteil, eine Domäne für öffentliche Dienste und eine andere für interne Dienste zu verwenden, auch wenn dies technisch nicht erforderlich ist.
Sie könnten beispielsweise alle öffentlichen Dienste in einer Domäne platzieren. Verwenden Sie dann einen DNS-Dienstanbieter oder Ihren Registrar, um die DNS-Einträge für diese Domäne zu verwalten. Auf diese Weise können Sie den Betrieb eines DNS-Servers in Ihrer DMZ beenden.
Intern sollten Sie prüfen, welche DNS-Dienste Ihr Netzwerkgerät ggf. bereitstellt. Bei einigen Netzwerkgeräten können Sie DNS möglicherweise direkt auf Ihrem Gerät verwalten.
Wenn nicht, sollten Sie ein kleines VPS-System in Betracht ziehen, das ausschließlich für interne DNS-Systeme vorgesehen ist. Sie können Ihre eigenen Datensätze für interne Assets veröffentlichen und das System dann so konfigurieren, dass es Rekursion und DNS-Caching handhabt. Auf diese Weise sind IPs und Domänen für interne Assets nicht öffentlich auffindbar.
Auf Ihrem internen Server können Sie ein Forward-Caching-DNS-Setup verwenden, das Dienste wie OpenDNS oder Google DNS für die Rekursion nutzt. Diese öffentlichen DNS-Dienste enthalten einige Sicherheitsfunktionen, die bei Ihrer eigenen DNS-Rekursion nicht vorhanden sind. Dies ist oft eine einfache und kostengünstige Möglichkeit, einem kleinen Büro- oder Zweigstellennetzwerk zusätzliche Sicherheit zu verleihen.