windows – ¿La recursividad de DNS es insegura, pero necesaria para aplicaciones internas?

Pregunta:

En la gestión de Windows Server 2008, el servidor aloja DNS (es un servidor de nombres) para algunos dominios, además de alojar algunas aplicaciones que son de acceso público.

Un escaneo de seguridad ha indicado que la configuración de DNS es insegura, porque permite consultas recursivas.

Se intentó deshabilitar las consultas recursivas, pero ocurrieron varios problemas (los correos electrónicos enviados desde aplicaciones locales no se entregaron y una aplicación que se ejecuta localmente y que se conecta a un sitio de terceros no pudo resolver el nombre de dominio para la conexión, etc.). Por tanto, parece que las solicitudes de DNS que se originan en el propio servidor dependen de consultas recursivas para funcionar.

¿Hay alguna manera de deshabilitar las consultas recursivas del DNS alojado en el servidor y, al mismo tiempo, permitir que funcionen las consultas de DNS que se originan en el servidor? Me pregunto si podemos deshabilitar las consultas recursivas en el servidor DNS local y configurar el DNS saliente en la configuración de red en algo externo (como 8.8.8.8), de modo que las consultas DNS salientes irían allí primero, y el DNS de este servidor solo terminaría recibiendo consultas sobre los dominios que realmente aloja localmente.

¡Gracias por tu tiempo!

Respuesta:

Es una buena idea no proporcionar la funcionalidad de búsqueda recursiva a todo Internet, por lo que configurar su servidor DNS para que solo responda las consultas para las que tiene autoridad es algo bueno TM .

A primera vista, parece que la conclusión a la que ha llegado en el último párrafo es buena: configure las opciones de TCP / IP del servidor para utilizar un servidor DNS que esté autorizado para proporcionar búsquedas recursivas. El proceso del servidor DNS no utiliza los servidores DNS configurados en la configuración de TCP / IP en la NIC de la computadora servidor para nada en particular. Más bien, reenvía solicitudes (o utiliza sugerencias de raíz) según la configuración del servidor DNS.

Cuando las aplicaciones que se ejecutan en el servidor intentan consultar dominios, el servidor DNS que se ejecuta en esa máquina tiene autoridad para la solicitud, en última instancia, llegará al proceso del servidor DNS que se ejecuta en esa máquina y la consulta será respondida.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım