請問公司內部都是手動輸入ip位置例如:192.168.1.x,但dns的部分都設定168.95.1.1,但這樣好像是不是資安上的疑慮?
如果防火牆位置為192.168.1.1,那dns應該要設定192.168.1.1嗎?
然後防火牆禁止53port嗎?
另外NTP的話,如果公司NAS有提供NTP服務,是不是也要指向該台,然後對外也要禁止123 PORT嗎?
目的就是把公司內部的123及53port都鎖起來,不知道這樣做會不會比較好呢?
Q:請問公司內部都是手動輸入ip位置例如:192.168.1.x,但dns的部分都設定168.95.1.1,但這樣好像是不是資安上的疑慮?
DNS可以自己架設,也可以使用公共具公信力的,國內大部分都用中華電信的168.95.1.1。
假設如果你真的這麼在意使用外部服務,自己架設了一台dns Server,所有的user都設這台,
但是只是省dns出去向外查詢流量負載,你要讓user能正常上網,你的dns還是要設定萬一不在dns快取記錄中的還是要向外跟168.95.1.1查詢回來回應給user。那最終還是往168.95.1.1,你可以只設定你的dns可以lan to wan 到168.95.1.1 做dns查詢。
除非你的user都不對外上網。
Q:如果防火牆位置為192.168.1.1,那dns應該要設定192.168.1.1嗎?
假設你的防火牆有dns功能,那當然可以,但防火牆其實沒這麼多性能,去給你榨乾。
問題是你的防火牆有dns service嗎?沒有幹嘛要user端設上去呢?
Q:然後防火牆禁止53port嗎?
前提是你自己有架設dns server,然後只放行dns server向外查。
你的user都設內部dns server,它自然也不會出去。
我們講的都是lan to wan讓內部正常使用,看過有人設定wan to lan,然後dns server就被XXX。
我猜是曾經有人以為雙向都要設定搞出來的坑。
Q:另外NTP的話,如果公司NAS有提供NTP服務,是不是也要指向該台,然後對外也要禁止123 PORT嗎?
跟dns一樣,假設應用面都去用內部 server,他自然不會向外使用,但也可以設定,沒被你設定到的他也沒辦法出去用外面的。
那你NAS被用來大家校正,那NAS去跟誰校正?那NAS就開放他可以lan to wan訪問外部具公信力的NTP服務。
你有資安疑慮,防外部攻擊是要看wan to lan的設置,有沒有被開不知道的規則只向你的內部服務,
國內IT生態通常接手的時候是未交接,所以根本不知道前任有開過什麼洞,有些上任會收集,有些等出事了才知道或還是不知道。
wan to lan 大多預設都是deny all,因為那非上網的必須條件,是架設公開服務才需要。
lan to wan 鬆一點的是 allow all,通常這樣比較好上線,畢竟大多需求是要能正常上網。
當然也有lan to wan deny all做預設的然後再加規則只放行想要的可以出去,那通常是連user上網都要管制的。
所以敘述要不要開什麼,建議是加上 wan to lan 或 lan to wan 什麼udp/tcp port 是否要放行或封鎖。
DNS及NTP的服務
通常是公司內部的伺服器提供
如果client設定正確
可以讓相關server使用外都阻擋
不過一定要先有把握相關設定都正確
但是有些公司並沒有AD等相關server
這時候封鎖相關服務就會不能上網
雖然168.95.1.1並不會濾掉一些惡意網站
但確實大家使用還算穩定
可以考慮改用1.1.1.1或9.9.9.9
你忘了
DoH
DoT
為了資安要全擋才對(反串要說明)