![将 *.[int].mydomain.com 指向 192.168.1.[int] 是否构成安全威胁](https://linux22.com/image/510849/%E5%B0%86%20*.%5Bint%5D.mydomain.com%20%E6%8C%87%E5%90%91%20192.168.1.%5Bint%5D%20%E6%98%AF%E5%90%A6%E6%9E%84%E6%88%90%E5%AE%89%E5%85%A8%E5%A8%81%E8%83%81.png)
出于测试目的,我发现将 whatever.machineIP.mydomain.com 指向 192.168.1.machineIP 非常有用:这样我们就可以测试彼此的代码而不必摆弄 hosts 文件。
我知道这会向外界公开我们的本地 IP 地址,但如果有人可以访问网络,那么嗅探哪个本地 IP 地址响应端口 80 就很容易了。
有什么是我没看到的吗?
答案1
向外界透露的信息越少越好。你永远不知道什么时候某条信息会对潜在的入侵者有用。魔鬼总是藏在细节中。
根据您的设置,它可能相当容易使用水平分割 DNS并揭露.int。只对内部网络开放,从而减轻风险。如果您曾经接受过安全审计,这肯定会被揭穿,这是一个很容易的选择,因为很难说这不是不必要的信息泄露。
除此之外,继续吧,如果您在其他领域(严密的防火墙、DMZ、可靠且可执行的使用政策)做好了充分的准备,那么暴露一些 RFC-1918 IP 应该不会造成太大的危害。
答案2
我使用我们的内部 DNS 服务器来执行此操作。我们有一个 DNS 服务器,它只为办公室内的客户端提供请求,我只是在那里添加了几个额外的区域,并告诉他他是这些区域的管理者。因此,各种名称会自动解析为内部 IP,但对于办公室外无法使用我们内部 DNS 服务器的任何人来说,这些名称都不会得到解析。不需要任何复杂的“水平分割”功能。