পাবলিক ডিএনএসে ব্যক্তিগত আইপি ঠিকানা

ফায়ারওয়ালের পেছনে আমাদের কেবলমাত্র একটি এসএমটিপি মেল সার্ভার রয়েছে যাতে জনসাধারণের একটি মেইলের রেকর্ড থাকবে। । এই মেল সার্ভারটি অ্যাক্সেস করার একমাত্র উপায় হ'ল একই ফায়ারওয়ালের পিছনে অন্য সার্ভার থেকে। আমরা আমাদের নিজস্ব ব্যক্তিগত ডিএনএস সার্ভার চালাই না।

কোনও সর্বজনীন ডিএনএস সার্ভারে রেকর্ড হিসাবে ব্যক্তিগত আইপি ঠিকানাটি ব্যবহার করা ভাল - বা প্রতিটি সার্ভারের স্থানীয় হোস্ট ফাইলগুলিতে এই সার্ভার রেকর্ডগুলি রাখা ভাল?

কিছু লোক বলবেন যে কোনও পাবলিক ডিএনএস রেকর্ডে ব্যক্তিগত আইপি ঠিকানাগুলি কখনও প্রকাশ করা উচিত নয় .... এই চিন্তাভাবনার সাথে আপনি সম্ভাব্য আক্রমণকারীদের এমন কিছু তথ্য প্রেরণ করছেন যা প্রাইভেট সিস্টেমগুলি শোষণের প্রয়োজন হতে পারে।

ব্যক্তিগতভাবে, আমি মনে করি যে অবজ্ঞা হ'ল সুরক্ষার একটি দুর্বল রূপ, বিশেষত যখন আমরা আইপি অ্যাড্রেসগুলির বিষয়ে কথা বলি কারণ সাধারণভাবে তারা যেভাবেই অনুমান করা সহজ, সুতরাং আমি এটিকে বাস্তববাদী সুরক্ষা আপস হিসাবে দেখছি না।

এখানে বৃহত্তর বিবেচনা নিশ্চিত করা হচ্ছে যে আপনার সর্বজনীন ব্যবহারকারীরা আপনার হোস্ট করা অ্যাপ্লিকেশনটির সাধারণ পাবলিক পরিষেবাদির অংশ হিসাবে এই ডিএনএস রেকর্ডটি গ্রহণ করবেন না। উদাহরণস্বরূপ: বাহ্যিক ডিএনএস লুক্কুলগুলি কোনওভাবে কোনও ঠিকানায় পৌঁছাতে পারে না সেটার সমাধান করতে শুরু করে।

এর বাইরে, আমি কোনও ব্যক্তিগত ঠিকানা জনসাধারণের জায়গায় একটি রেকর্ড স্থাপন করা কোনও সমস্যা কারণ দেখছি না .... বিশেষত যখন আপনার হোস্ট করার জন্য কোনও বিকল্প ডিএনএস সার্ভার নেই।

যদি আপনি এই রেকর্ডটি সর্বজনীন ডিএনএস স্পেসে রাখার সিদ্ধান্ত নেন, আপনি সমস্ত "ব্যক্তিগত" রেকর্ড ধারণ করতে একই সার্ভারে একটি পৃথক অঞ্চল তৈরির কথা বিবেচনা করতে পারেন। এটি এটিকে আরও পরিষ্কার করে দেবে যে তারা ব্যক্তিগত হওয়ার উদ্দেশ্যে are .... তবে কেবল একটি রেকর্ডের জন্য, আমি সম্ভবত বিরক্ত করব না।

কিছুক্ষণ আগে ন্যানোগ তালিকায় এই বিষয়ে আমার দীর্ঘ আলোচনা হয়েছিল। যদিও আমি সবসময়ই এটি একটি খারাপ ধারণা বলে মনে করি, বাস্তবে এটি খারাপ ধারণা নয় turns অসুবিধাগুলি বেশিরভাগ rDNS লুকআপ থেকে আসে (যা ব্যক্তিগত ঠিকানাগুলির জন্য কেবল বাইরের বিশ্বে কাজ করে না) এবং আপনি যখন কোনও ভিপিএন বা অনুরূপ ঠিকানাগুলিতে অ্যাক্সেস সরবরাহ করেন তখন ভিপিএন ক্লায়েন্টগুলি যথাযথভাবে সুরক্ষিত রয়েছে তা নিশ্চিত করা গুরুত্বপূর্ণ ভিপিএন নিচে থাকাকালীন "ফাঁস" ট্র্যাফিক।

আমি বলি এটার জন্য যাও। কোনও আক্রমণকারী যদি অভ্যন্তরীণ ঠিকানাগুলিতে নামগুলি সমাধান করতে সক্ষম হওয়া থেকে অর্থবহ কিছু পেতে পারে তবে আপনার কাছে আরও বড় সুরক্ষা সমস্যা রয়েছে।

সাধারণভাবে আরএফসি 1918 ঠিকানাগুলি জনসাধারণের ডিএনএস-এ প্রবর্তন করা ভবিষ্যতের কোনও সময়ে বিভ্রান্তি সৃষ্টি করে, আসল সমস্যা না হলে। আপনার ফায়ারওয়ালের পিছনে আরএফসি 1918 ঠিকানাগুলি ব্যবহার করার জন্য আইপি, হোস্ট রেকর্ডস বা আপনার অঞ্চলের একটি ব্যক্তিগত ডিএনএস ভিউ ব্যবহার করুন তবে সেগুলি জনসাধারণের দৃষ্টিতে অন্তর্ভুক্ত করবেন না।

অন্য জমা দেওয়া প্রতিক্রিয়ার উপর ভিত্তি করে আমার প্রতিক্রিয়াটি স্পষ্ট করার জন্য, আমি মনে করি যে জনসাধারণের ডিএনএসে আরএফসি 1918 ঠিকানাগুলি প্রবর্তন করা কোনও সুরক্ষা সমস্যা নয়, একটি মিথ্যা বিষয়। যদি কেউ আমাকে সমস্যা সমাধানের জন্য ডেকে নিয়ে যায় এবং আমি তাদের ডিএনএসে আরএফসি 1918 ঠিকানার মধ্যে হোঁচট খায়, আমি সত্যিই আস্তে আস্তে কথা বলতে শুরু করি এবং তারা জিজ্ঞাসা করছে যে তারা সম্প্রতি রিবুট করেছে কিনা। সম্ভবত এটি আমার পক্ষ থেকে স্নোববারি, আমি জানি না। তবে আমি যেমন বলেছি, এটি করার দরকার নেই এবং এটি কোনও সময়ে বিভ্রান্তি ও ভুল যোগাযোগ (মানব, কম্পিউটার) তৈরির কারণ হতে পারে। ঝুঁকি কেন?

না, আপনার ব্যক্তিগত আইপি ঠিকানাগুলি সর্বজনীন ডিএনএসে রাখবেন না।

প্রথমত, এটি তথ্য ফাঁস করে, যদিও এটি তুলনামূলকভাবে সামান্য সমস্যা।

যদি আপনার এমএক্স রেকর্ডগুলি সেই নির্দিষ্ট হোস্ট এন্ট্রিটির দিকে নির্দেশ করে তবে সবচেয়ে খারাপ সমস্যাটি হ'ল যে কেউ এতে মেল প্রেরণের চেষ্টা করবেন তিনি মেল সরবরাহের সময়সীমা পেয়েছেন।

প্রেরকের মেল সফ্টওয়্যারটির উপর নির্ভর করে তারা বাউন্স পেতে পারে।

আরও খারাপ, যদি আপনি আরএফসি 1918 ঠিকানা স্পেস ব্যবহার করেন (যা আপনার নেটওয়ার্কের ভিতরে থাকা উচিত) এবং প্রেরক খুব বেশি থাকে তবে তার সম্ভাবনা রয়েছে যে তারা চেষ্টা করে তার পরিবর্তে মেলটি তাদের নিজস্ব নেটওয়ার্কে সরবরাহ করবেন।

উদাহরণ স্বরূপ:

• নেটওয়ার্কের অভ্যন্তরীণ মেল সার্ভার রয়েছে তবে ডিএনএস বিভক্ত নয়
• অ্যাডমিন তাই ডিএনএসে সর্বজনীন এবং অভ্যন্তরীণ আইপি ঠিকানা রাখে
• এবং এমএক্স রেকর্ডগুলি উভয়কে নির্দেশ করে:

 $ORIGIN example.com
 @        IN   MX    mail.example.com
 mail     IN   A     192.168.1.2
          IN   A     some_public_IP

• এটি দেখে যে কেউ 192.168.1.2 এ সংযোগ করার চেষ্টা করতে পারে
• সর্বোত্তম ক্ষেত্রে, এটি বাউন্স করে, কারণ তাদের কোনও রাস্তা নেই
• তবে যদি তারা 192.168.1.2 ব্যবহার করে কোনও সার্ভার পেয়ে থাকে তবে মেলটি ভুল জায়গায় যাবে

হ্যাঁ, এটি একটি ভাঙা কনফিগারেশন, তবে আমি এটি (এবং আরও খারাপ) ঘটতে দেখেছি।

না, এটি ডিএনএসের দোষ নয়, কেবল যা বলা হয়েছে তা করছে।

যদিও সম্ভাবনাটি দূরবর্তী আমি মনে করি আপনি সম্ভবত কিছুটা এমআইটিএম আক্রমণের জন্য নিজেকে প্রস্তুত করছেন।

আমার উদ্বেগ এই হবে। মেল সার্ভারে নির্দেশ করার জন্য কনফিগার করা মেল ক্লায়েন্টযুক্ত আপনার ব্যবহারকারীর মধ্যে একটি তাদের ল্যাপটপকে অন্য কোনও নেটওয়ার্কে নিয়ে যায়। যদি অন্য নেটওয়ার্কটিতেও একই আরএফসি 1918 ব্যবহার হয় তবে কী হয় happens এই ল্যাপটপটি এসএমটিপি সার্ভারে লগইন করতে পারে এবং ব্যবহারকারীর শংসাপত্রগুলি এমন কোনও সার্ভারে সরবরাহ করতে পারে যা এটি না থাকা উচিত। এটি বিশেষত সত্য হবে যেহেতু আপনি এসএমটিপি বলেছেন এবং উল্লেখ করেননি যে আপনি যেখানে এসএসএল প্রয়োজন iring

আপনার দুটি বিকল্প হ'ল / ইত্যাদি / হোস্ট এবং আপনার পাবলিক জোনে একটি প্রাইভেট আইপি ঠিকানা রাখছে। আমি প্রাক্তন সুপারিশ করব। এটি যদি বৃহত সংখ্যক হোস্টকে প্রতিনিধিত্ব করে তবে আপনার নিজের সমাধানটি অভ্যন্তরীণভাবে চালানো বিবেচনা করা উচিত, এটি এতটা কঠিন নয়।

এটিতে সূক্ষ্ম সমস্যা হতে পারে। একটি হ'ল ডিএনএস রিবাইন্ড আক্রমণগুলির সাধারণ সমাধানগুলি জনসাধারণের ডিএনএস সার্ভার থেকে সমাধান করা স্থানীয় ডিএনএস এন্ট্রি ফিল্টার করে। সুতরাং আপনি হয় আক্রমণগুলি পুনঃত্যাগ করার জন্য নিজেকে খুলুন, বা স্থানীয় ঠিকানাগুলি কাজ করে না, বা আরও পরিশীলিত কনফিগারেশন প্রয়োজন (যদি আপনার সফ্টওয়্যার / রাউটার এমনকি এটির অনুমতি দেয়)।

এটি হোস্ট ফাইলে রাখা ভাল। যদি কেবল একটি মেশিনই এর সাথে যেভাবে সংযোগ স্থাপন করার কথা মনে করে, জনসাধারণের ডিএনএসে রেখে আপনি কী লাভ করবেন?

যদি গোপনীয়তার সাথে আপনার অর্থ 10.0.0.0/8, একটি 192.168.0.0/16, বা 172.16.0.0/12 হয় তবে তা করবেন না । বেশিরভাগ ইন্টারনেট রাউটারগুলি এটির জন্য এটি স্বীকৃতি দেয় - এমন একটি ব্যক্তিগত ঠিকানা যা কখনও কখনও সরাসরি ফ্যাশনে পাবলিক ইন্টারনেটের কাছে না যেতে হয়, এটিই NAT এর জনপ্রিয়তাকে সহায়তা করে। আপনার সার্বজনীন ডিএনএস সার্ভারের সাথে যোগাযোগের চেষ্টা করা যে কেউ ডিএনএস থেকে ব্যক্তিগত আইপি ঠিকানাটি পুনরুদ্ধার করবে, কেবলমাত্র কোনও প্যাকেট এখানে .... পাঠানোর জন্য নেই। যেহেতু তাদের সংযোগটি আপনার ব্যক্তিগত ঠিকানায় ইন্টারনেটে যাওয়ার চেষ্টা করছে, সেই পথে কিছু (বুদ্ধিমানভাবে কনফিগার করা) রাউটার কেবল প্যাকেটটি জীবিত খাবে।

যদি আপনি "বাইরের" থেকে "ভিতরে" আসতে ইমেইল পেতে চান তবে কোনও সময় প্যাকেটটি আপনার ফায়ারওয়ালটি অতিক্রম করতে হবে। আমি এটি হ্যান্ডেল করার জন্য একটি ডিএমজেড ঠিকানা স্থাপনের পরামর্শ দেব - একটি একক পাবলিক আইপি ঠিকানা যা আপনার জায়গায় থাকা কোনও রাউটার / ফায়ারওয়াল দ্বারা শক্তভাবে নিয়ন্ত্রণ করা হয় controlled আপনি যে বিদ্যমান সেটআপটি বর্ণনা করেছেন তা শোনার মতোই তা ঠিক করে দেয়।

সম্পাদনা: উদ্দেশ্যটির স্পষ্টতা ... (নীচে মন্তব্য দেখুন)। যদি এটি বোঝা না যায় তবে আমি আমার নিজের পোস্টটি সরিয়ে দিতে ভোট দেব।

আমি অনুরূপ তথ্যের সন্ধান করতে করতে আমি এখানে পৌঁছেছি এবং অবাক হয়েছি যে অনেকেই বলেছিলেন যে আপনার ব্যক্তিগত আইপি ঠিকানাগুলি ফাঁস করা ভাল। আমার ধারণা হ্যাক হওয়ার শর্তে, আপনি যদি নিরাপদ নেটওয়ার্কে থাকেন তবে এটি কোনও বিশাল পার্থক্য রাখে না। যাইহোক, ডিজিটাল ওশনের সমস্ত স্থানীয় নেটওয়ার্ক ট্র্যাফিক যথাযথ একই কেবলগুলিতে প্রত্যেকের ট্র্যাফিকের সাথে প্রত্যেকেই অ্যাক্সেস পেয়েছিল (সম্ভবত মিডল অ্যাটাকের একজন ব্যক্তির সাথে সম্ভব) এটি যদি আপনি কেবল একই ডেটা সেন্টারে একটি কম্পিউটার পেয়ে থাকেন তবে তা ছিল তথ্য অবশ্যই আপনাকে আমার ট্র্যাফিক হ্যাক করার এক ধাপ কাছে দেয়। (এখন প্রতিটি ক্লায়েন্টের নিজস্ব মেঘ পরিষেবা যেমন এডাব্লুএস এর মতো নিজস্ব সংরক্ষিত ব্যক্তিগত নেটওয়ার্ক রয়েছে))

বলা হচ্ছে, আপনার নিজস্ব বিআইএনডি 9 পরিষেবাটি দিয়ে আপনি সহজেই আপনার সরকারী এবং ব্যক্তিগত আইপি সংজ্ঞায়িত করতে পারেন। এটি viewবৈশিষ্ট্যটি ব্যবহার করে করা হয়েছে , এতে শর্তযুক্ত রয়েছে। এটি আপনাকে একটি ডিএনএসকে জিজ্ঞাসা করতে এবং কেবলমাত্র যদি আপনি নিজের নিজস্ব অভ্যন্তরীণ আইপি ঠিকানা জিজ্ঞাসা করেন তবে কেবল অভ্যন্তরীণ আইপি সম্পর্কে একটি উত্তর পেতে দেয়।

সেটআপের জন্য দুটি অঞ্চল প্রয়োজন। নির্বাচন ব্যবহার করে match-clients। এখানে BIND9 সহ টু-ইন-ওয়ান ডিএনএস সার্ভারের সেটআপের উদাহরণ রয়েছে :

acl slaves {
    195.234.42.0/24;    // XName
    193.218.105.144/28; // XName
    193.24.212.232/29;  // XName
};

acl internals {
    127.0.0.0/8;
    10.0.0.0/24;
};

view "internal" {
    match-clients { internals; };
    recursion yes;
    zone "example.com" {
        type master;
        file "/etc/bind/internals/db.example.com";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "/etc/bind/externals/db.example.com";
        allow-transfer { slaves; };
    };
};

এটি বাহ্যিক অঞ্চল এবং আমরা দেখতে পাই যে আইপিগুলি ব্যক্তিগত নয়

; example.com
$TTL    604800
@       IN      SOA     ns1.example.com. root.example.com. (
                     2006020201 ; Serial
                         604800 ; Refresh
                          86400 ; Retry
                        2419200 ; Expire
                         604800); Negative Cache TTL
;
@       IN      NS      ns1
        IN      MX      10 mail
        IN      A       192.0.2.1
ns1     IN      A       192.0.2.1
mail    IN      A       192.0.2.128 ; We have our mail server somewhere else.
www     IN      A       192.0.2.1
client1 IN      A       192.0.2.201 ; We connect to client1 very often.

অভ্যন্তরীণ অঞ্চল হিসাবে, আমরা প্রথমে বাহ্যিক অঞ্চলকে অন্তর্ভুক্ত করি, এটি কীভাবে এটি কাজ করে। যেমন আপনি যদি একটি অভ্যন্তরীণ কম্পিউটার হন তবে আপনি কেবলমাত্র অভ্যন্তরীণ অঞ্চলটি অ্যাক্সেস করতে পারেন তাই আপনার এখনও বাহ্যিক অঞ্চলের সংজ্ঞা প্রয়োজন, সুতরাং $includeআদেশটি:

$include "/etc/bind/external/db.example.com"
@       IN      A       10.0.0.1
boss    IN      A       10.0.0.100
printer IN      A       10.0.0.101
scrtry  IN      A       10.0.0.102
sip01   IN      A       10.0.0.201
lab     IN      A       10.0.0.103

অবশেষে, আপনাকে নিশ্চিত করতে হবে যে আপনার সমস্ত কম্পিউটার এখন সেই ডিএনএস এবং এর দাসদের ব্যবহার করে। একটি স্ট্যাটিক নেটওয়ার্ক ধরে নেওয়া, এর অর্থ আপনার /etc/network/interfacesফাইলটি সম্পাদনা করা এবং nameserverবিকল্পে আপনার ডিএনএস আইপি ব্যবহার করা । এটার মতো কিছু:

iface eth0 inet static
    ...
    nameserver 10.0.0.1 10.0.0.103 ...

এখন আপনি সব সেট করা উচিত।