dns

[kayne]

buenas tardes, tengo en casa montada una pequeña red local con un dominio basado en active directory y windows 2003, el dominio requiere de un servidor dns y acabo de adquirir un dominio en internet para gestionar una pagina web propia y mi correo asociado a mi dominio. El problema es que mi dominio de internet y el interno son iguales y al configurarlos en un mismo servidor dns, haciendo un petición dns a mi dominio se puede saber mi rango interno y el nombre interno de las maquinas cosas que no me mola... pues son datos al exterior que mejor se queden en casa, no se si a alguien le ha pasado algo parecido pero de momento la unico solucion que encuetro es montar otro DNS solo para internet en otra maquina.

Bueno muchas gracias a todos...

Un saludo

[kayne]

Por lo que he leido es imposible configurar el dns de windows active directoy y el externo en la misma maquina y evitar que desde fuera vean el contenido del dns de active directory, la solucion pasa por instalar dos dns, o tener dos dominios diferentes (externo e interno), de todas formas estos es lo que comentan en la page de microsoft acerca de su DNS:

"Problemas de seguridad entre la información DNS pública y privada
Originalmente configuramos dos servidores DNS: un servidor DNS principal y un servidor DNS secundario para conseguir redundancia. En estos servidores DNS se configuraron dos zonas: una para el dominio externo de Internet, "DuwamishOnline.com", y otra para el dominio interno, "InternalDomain.com".

Como se ha mencionado anteriormente, la configuración de un servidor DNS para el dominio interno es un requisito nuevo para un dominio de Active Directory de Windows 2000. Con esta configuración original, los servidores DNS se configuraron en modo "multitarjeta" tanto para el dominio externo como para el interno; por ejemplo, la tarjeta de interfaz de red (NIC) externa con la dirección IP 192.168.100.1 y la NIC interna con la dirección IP 10.10.10.1.

Los usuarios de Internet pueden consultar nuestra zona externa en el servidor. Sin embargo, como el mismo servidor DNS administra las zonas externa e interna, nuestra zona interna también está abierta a consultas DNS por parte del público. Los usuarios de Internet pueden utilizar herramientas básicas de red, como Name Service Lookup (NSLookup), para tener acceso a la información DNS de nuestro dominio interno.

En teoría, no hay ninguna forma de que se pueda enrutar ningún paquete de red a nuestro dominio interno para atacar directamente nuestros servidores internos. Sin embargo, cuanta menos información interna revelemos al exterior, mayor será la seguridad de nuestras operaciones. Esto impide la explotación de cualquier brecha posible hasta los servicios de fondo, donde se almacena información crítica del negocio"

Y como soluciones para la instalación de DNS .....

1.- Utilizar servidores DNS diferentes para los dos dominios o zonas.
2.- Alojar el DNS externo en un proveedor de servicios Internet (ISP).
3.- Mantener dos zonas en un servidor y configurar Active Directory con un control de acceso apropiado.

Y en cuanto a la tercera opcion, que parece la apropiada dicen:

Configurar el control de acceso de Active Directory
Es posible mantener las dos zonas en un servidor e integrar la zona con las características de seguridad de Active Directory. Con un control de acceso adecuado a los archivos DNS en Active Directory, se podrían restringir las consultas DNS internas únicamente a los usuarios autenticados.

Sin embargo, no hemos probado esta solución. La complejidad de esta solución requeriría costosas pruebas para garantizar que se realizan las configuraciones apropiadas y que no se exporta erróneamente a Internet ninguna información interna.


Por si le interesa a alguien de donde es esta info:
http://www.microsoft.com/latam/technet/articulos/200110/art03/default.asp

Conclusion... no me vale pa na... pues solo tengo una zona, habra que montar otro DNS, por cierto es muy complicado montar un Bind ¿?, lo digo porque tengo en casa otro servidor RedHat8 que unicamente tiene un squid...