Atualmente trabalho em uma empresa que possui dois servidores DNS (ns1 e ns2) abertos à Internet na DMZ e hospeda duas zonas: company.org e company.net. Em ambas as zonas existem servidores na DMZ e na LAN interna, e a recursão está habilitada no servidor DNS.
Eu estava pensando em fazer isso: reconfigurar todos os servidores na DMZ para ter um FQDN de server.company.org e na LAN interna server.company.net. E então, tenha um servidor DNS na DMZ apenas com a zona company.org e outro servidor DNS na LAN interna hospedando apenas a zona company.net.
Isso é sensato ou há uma solução melhor? Se estiver usando isso, qual recursão do servidor DNS deve ser habilitada e desabilitada? E o encaminhamento?
Muito obrigado.
Responder1
Você não declarou claramente seus objetivos, portanto, é difícil fornecer uma recomendação específica.
No entanto, para facilitar a gestão e a segurança, a utilização de um domínio para serviços públicos e outro para serviços internos é benéfica, embora não seja tecnicamente necessária.
Por exemplo, você pode colocar todos os serviços públicos em um domínio. Em seguida, use um provedor de serviços DNS ou seu registrador para gerenciar os registros DNS deste domínio. Isso permitirá que você pare de executar um servidor DNS em sua DMZ.
Internamente, você pode querer verificar quais serviços DNS seu equipamento de rede oferece, se houver. Alguns dispositivos de rede podem permitir que você gerencie o DNS diretamente no seu dispositivo.
Caso contrário, considere um pequeno sistema VPS dedicado ao DNS interno. Você pode publicar seus próprios registros para ativos internos e depois configurar o sistema para lidar com recursão e cache DNS. Dessa forma, os IPs e domínios de ativos internos não podem ser descobertos publicamente.
No seu servidor interno, você pode usar uma configuração de DNS de cache de encaminhamento que usa serviços como OpenDNS ou DNS do Google para recursão. Esses serviços DNS públicos incluem alguns recursos de segurança que a recursão de DNS por conta própria não inclui. Geralmente, essa é uma maneira fácil e econômica de adicionar segurança adicional a uma rede de pequeno escritório ou filial.