Solicitações de DNS em uma rede airgapped

Solicitações de DNS em uma rede airgapped

Eu trabalho com uma rede global isolada/com airgap com vários controladores de domínio redundantes que também atuam como servidores DNS. Minha pergunta é, espero, bastante simples, mas parece que estou tendo dificuldade em encontrar algo no Google que se aplique à nossa configuração.

Existe uma prática recomendada para lidar com solicitações externas de DNS da Internet provenientes de sistemas em uma rede isolada?

Para plano de fundo:

Recentemente identificamos que uma grande parte da largura de banda da nossa rede está sendo utilizada pelo DNS, especificamente pelo tráfego UDP na porta 53 entre os diferentes servidores DNS. Podemos verificar isso ativando o registro de depuração de DNS, onde vemos centenas de megabytes de tráfego DNS a cada hora em todos os nossos servidores DNS. Sabemos que o principal culpado é o protocolo GTI/Artemis da McAfee, onde eles tentam enviar dados de arquivos com hash para avts ou avqs.mcafee.com por meio de solicitações de DNS. Estamos resolvendo o problema da McAfee lidando com o software McAfee em nossa rede, mas eu estava preocupado com a forma como as solicitações de DNS estão sendo encaminhadas entre nossos diferentes servidores DNS. Parece que nossos servidores DNS estão apenas encaminhando as solicitações de qualquer site externo para um servidor DNS diferente em nossa rede. Esse processo parece durar para sempre, ou pelo menos por muito tempo (mais de 30 minutos para uma solicitação específica que rastreei por meio dos logs de depuração de DNS). A solicitação é enviada do Servidor 1 -> Servidor 2 -> Servidor 3 -> Servidor 1 etc. Estou tentando reunir alguns dados para propor uma mudança aos responsáveis ​​pelo gerenciamento de configuração, porque neste momento parece que algo está claramente não configurado corretamente.

Usando o Windows Server 2008 R2.

Responder1

Se todos os servidores DNS forem apenas internos e as zonas forem replicadas, você não deverá ter encaminhadores nem dicas de raiz, pesquisas externas receberão NXDOMAIN ou SERVFAIL uma vez de seu resolvedor local (seu DC).

VerDesabilitar recursão

Responder2

Se o problema for um software tentando resolver avqs.mcafee.com, crie uma zona para avqs.mcafee.com e resolva o tráfego para uma caixa negra.

informação relacionada