Actualmente trabajo en una empresa que tiene dos servidores DNS (ns1 y ns2) abiertos a Internet en la DMZ y aloja dos zonas: company.org y company.net. En ambas zonas hay servidores en la DMZ y en la LAN interna, y la recursividad está habilitada en el servidor DNS.
Estaba pensando en hacer esto: reconfigurar todos los servidores en la DMZ para que tengan un FQDN de server.company.org y en la LAN interna server.company.net. Y luego, tenga un servidor DNS en la DMZ con solo la zona company.org y otro servidor DNS en la LAN interna que aloje solo la zona company.net.
¿Es esto prudente o hay una solución mejor? Si se utiliza esto, ¿qué recursividad del servidor DNS se debe habilitar y deshabilitar? ¿Y qué pasa con el reenvío?
Muchas gracias.
Respuesta1
No ha establecido claramente sus objetivos, por lo que es difícil brindar una recomendación específica.
Sin embargo, para facilitar la gestión y la seguridad, utilizar un dominio para servicios públicos y otro para servicios internos es beneficioso, aunque no es técnicamente necesario.
Por ejemplo, podría colocar todos los servicios públicos en un dominio. Luego utilice un proveedor de servicios DNS o su registrador para administrar los registros DNS para este dominio. Hacerlo le permitirá dejar de ejecutar un servidor DNS en su DMZ.
Internamente, es posible que desee verificar qué servicios DNS proporciona su equipo de red, si corresponde. Algunos dispositivos de red pueden permitirle administrar DNS directamente en su dispositivo.
De lo contrario, considere un pequeño sistema VPS dedicado al DNS interno. Puede publicar sus propios registros para activos internos y luego configurar el sistema para manejar la recursividad y el almacenamiento en caché de DNS. De esta manera, las IP y los dominios de los activos internos no son visibles públicamente.
En su servidor interno, puede utilizar una configuración de DNS de almacenamiento en caché de reenvío que utilice servicios como OpenDNS o el DNS de Google para la recursividad. Estos servicios de DNS públicos incluyen algunas características de seguridad que no incluye la recursión de DNS propia. Esta suele ser una forma fácil y económica de agregar seguridad adicional a una pequeña oficina o red de sucursales.