înregistrare Logare
Puncte:0
avatar Server

Maparea serverelor interne la subdomenii le lasă mai expuse decât doar utilizarea IP-ului?

drapel de
Breno Salgado

Avem un serviciu online care este compus din câteva instanțe Amazon EC2. Urmam să mapam instanțele interne ale serverului la subdomenii pentru a fi practic, dar un coleg a spus că acest lucru ar putea face serverele noastre mai expuse la atacatori (de ex.: ar putea să ne scaneze și să ne ținteze mai ușor), am încercat să cercetez despre asta, dar nu am putut găsi nimic, aș putea folosi cuvinte cheie greșite. Este adevărat și de ce?

29
1 + 1
Michael Hampton avatar
drapel cz
Michael Hampton
Ar trebui să-l întrebi ce anume este expus?
0
Răspunde
Puncte:2
Patrick Mevzek avatar Server
drapel cn
Patrick Mevzek

Permite atacatorilor sau oricui să vadă mai ușor că utilizați Amazon EC2, dar nici asta nu poate fi ascuns chiar dacă are doar adresa IP.

Problema deseori în jurul a face:

internal-service.example.com. CNAME some-provider-managed-instance.example.

este ceea ce se întâmplă „mai târziu” și dacă nu mai aveți nevoie de acest serviciu, dar continuați să aveți acest lucru CNAME înregistrare care ar fi trebuit eliminată, dar adesea nu este.

Aceasta se numește Dangling DNS records (sau „DARE” din anumite motive) și puteți găsi toate detaliile la https://scholarworks.wm.edu/cgi/viewcontent.cgi?article=1829&context=aspubs de exemplu.

Totuși, se rezumă doar la o bună administrare a zonei dvs. și la eliminarea oricăror înregistrări DNS de care nu mai aveți nevoie, de îndată ce nu mai aveți nevoie de ele. Deoarece orice furnizor pe care îl utilizați s-ar putea să nu verifice în mod corespunzător dreptul de proprietate și, prin urmare, odată ce încetați să utilizați singur resursa, un alt client poate găsi o modalitate de a revendica acea resursă la furnizor și apoi obține „controlul” unei părți a zonei dvs., deoarece TU. ai o înregistrare în zonă care indică ceva care este acum controlat de altcineva decât tine.

La fel, în alte cazuri, în care aveți dvs CNAME încă există, deși nu este necesar, dar indicând un nume sub un nume de domeniu care nu mai există: oricine ar putea să înregistreze acel nume și apoi să obțină controlul asupra unei părți din spațiul tău de nume datorită înregistrării tale.

Problema este exact aceeași dacă nu aveți un CNAME dar direct an A/aaaa înregistrare care indică către o adresă IP controlată extern. Deci de la sine doar folosind un CNAME nu expune la mai multe riscuri, cu exceptia celor standard cu CNAME (bucle, lanțuri prea lungi, imposibil de utilizat la vârf etc.)

PS: dacă colegul tău susține ceva, s-ar putea să vrei să-l întrebi mai multe despre asta și ceva argumentare măcar pentru a putea căuta de partea ta și a trage propriile concluzii. Este dificil exact (cu atât de puține detalii în întrebarea dvs.) la ce vectori de amenințare se gândea și, prin urmare, de ce crede așa.

0 + 1
drapel de
Breno Salgado
Multumesc Patrick! Într-adevăr, ai dreptate la sfat, de obicei jonglam cu mai multe sarcini, așa că am vrut să mă informez mai bine despre asta înainte de a discuta din nou și sper să iau decizia cel mai eficient, mi s-a părut, de asemenea, o întrebare care merită aprovizionare. pentru Google/Posteriority! Voi încerca să completez aici cu ce vectori a vrut să spună.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.