Estoy trabajando en un estudio de caso relacionado con los riesgos de las actualizaciones dinámicas inseguras de DNS. Supongamos que hay un DNS interno configurado que tiene una combinación de direcciones estáticas y creadas dinámicamente. Considere un entorno DNS integrado de Windows AD.
Necesito ayuda con algunas de las consultas a continuación.
- ¿Pueden coexistir un registro A estático y uno creado dinámicamente para el mismo host, en referencia a diferentes direcciones IP en el servidor DNS? (por ejemplo, dinámico Un registro creado por un nuevo sistema introducido en la red con el mismo nombre de host)
- En caso afirmativo, ¿cómo se solucionaría el DNS en tales casos? ¿Puede la consulta DNS resolverse en el registro A dinámico incorrecto en lugar del registro A estático?
- ¿Se puede evitar esto teniendo una configuración dns dinámica segura en lugar de actualizaciones inseguras de ddns? Si es así, ¿cómo podría el DDNS seguro evitar tal escenario?
Cualquier ayuda sobre este asunto será de gran ayuda.
Gracias de antemano.
Respuesta1
¿Puede coexistir un registro A estático y uno creado dinámicamente para el mismo host?
Un nombre puede resolverse en varias direcciones IP, es decir, tener varios Aregistros AAAA. Los clientes obtendrán el conjunto completo cuando soliciten el nombre.
La forma en que se aprovisionan las direcciones IP es algo irrelevante para lo anterior, excepto que en casos "dinámicos", a menudo una actualización es en realidad un reemplazo, es decir: "resuelva X para dirigir Y ahora, después de haber eliminado todas las direcciones IP existentes". para ello".
Entonces todo depende de cómo estén funcionando tus cosas dinámicas. Si es aditivo, entonces puedes tener una mezcla.
En caso afirmativo, ¿cómo se solucionaría el DNS en tales casos? ¿Puede la consulta DNS resolverse en el registro A dinámico incorrecto en lugar del registro A estático?
Si hay varios Aregistros, se devuelven todos. El cliente no tiene forma de saber de dónde vienen (dinámicos o estáticos).
¿Se puede evitar esto teniendo una configuración dns dinámica segura en lugar de actualizaciones inseguras de ddns? Si es así, ¿cómo podría el DDNS seguro evitar tal escenario?
Sí, y también hacer que solo una subzona de su zona esté abierta a actualizaciones dinámicas, no toda la zona.