請問公司內部的電腦DNS及NTP設定的問題

dns ntp

weirdfield 2023-08-02 10:31:28 ‧ 1823 瀏覽

分享至

請問公司內部都是手動輸入ip位置例如:192.168.1.x，但dns的部分都設定168.95.1.1，但這樣好像是不是資安上的疑慮？
如果防火牆位置為192.168.1.1，那dns應該要設定192.168.1.1嗎？
然後防火牆禁止53port嗎？

另外NTP的話，如果公司NAS有提供NTP服務，是不是也要指向該台，然後對外也要禁止123 PORT嗎？

目的就是把公司內部的123及53port都鎖起來，不知道這樣做會不會比較好呢？

看更多先前的討論...收起先前的討論...

mathewkl iT邦高手 1 級 ‧ 2023-08-02 10:46:38 檢舉

中華電信DNS有資安疑慮? 你的問題點是在哪?
NAS的NTP也要向外部NTP校時伺服器同步時間，鎖起來NAS的NTP也不會準，除非你定期手動修正時間

阿摔 iT邦新手 4 級 ‧ 2023-08-02 10:55:11 檢舉

你的DNS跟NTP只要內部有往外查找的需求都需要連到外面去抓
不管是否在內部架設了DNS跟NTP
內部有架設的區別只是在於DNS跟NTP往外去抓跟Client直接往外去抓而已

James iT邦大師 6 級 ‧ 2023-08-02 10:55:24 檢舉

有一點規模的大致上都是用內部自己的dns和ntp，讓環境單純比較好查問題

froce iT邦大師 1 級 ‧ 2023-08-02 11:05:31 檢舉

DNS部分，DNS如果是有公信力的可以不用考慮這麼多，你要考慮的應該是網路內部自己server的domain name解析問題。
就算自己架通常最終也是會指向外部。
另外DNS設外部不是不可以，是不是每個人都有權限改才是大問題。

NTP如果有架AD的話，建議指向AD的，NTP也一樣通常會指向一個外面的伺服器，除非你自己買校時模組自己搞...

camelchen1963 iT邦新手 5 級 ‧ 2023-08-02 11:25:48 檢舉

DNS 設定成 168.95.1.1 代表貴公司沒有 DNS server, 是往外使用 Hinet 的 DNS server, 所以貴公司的防火牆不能封阻 53 port, 192.168.1.1 是無線 ap 或防火牆的位址或 gateway 的位址, DNS 跟 NTP 是否能設成 192.168.1.1? 要看這個設備有沒有提供囉!

bruce77620 iT邦新手 4 級 ‧ 2023-08-02 11:39:47 檢舉

您應該先請教一下你們公司資訊前輩架構還有一些設備問題，感覺您對一些公司資訊的基礎好像有不了解的地方，建議先去補足。

weirdfield iT邦新手 4 級 ‧ 2023-08-02 11:47:00 檢舉

NTP的話就只有針對這台開放123port，但其實我所困惑的事情是，到底內部的電腦去對外查詢NTP還是DNS，會不會有資安上的風險而已，對於這方面實在很不懂，所以問一些白癡的話，還請各位見諒及提供比較好建議。
另外就是想把公司內部的電腦的123及53port都鎖起來。這樣做不知到會不會比較好？

mathewkl iT邦高手 1 級 ‧ 2023-08-02 11:54:07 檢舉

如果DNS查詢這個行動有風險代表接收查詢請求的DNS站台本身就是個風險，把網址解析後送回惡意IP，如果查詢的網址就是個惡意站台那應該是防火牆/防毒要擋下可疑動作而不是鎖掉整個53port

bruce77620 iT邦新手 4 級 ‧ 2023-08-02 12:03:40 檢舉

建議您還是先去問問您公司資深的前輩公司架構問題跟這設定的用途，先不恥下問一番，等都有基礎的理解，再去查詢變動更改，不然你可能連基礎都不清楚DNS為什麼要指168.95.1.1為什麼不指8.8.8.8或是192.168.1.1等等的?還有你們的防火牆有把DNS record 壓在防火牆上之類的，這比較偏基礎架構也沒誰對誰錯問題，白不白癡這無從判斷，要先理解公司架構還有目前用法之類才知道，還有從上面的問題聽起來，你對網路這塊地理解感覺不是很清楚，如同上面前輩提到對外檔掉NTP那怎麼會有反應? 等等一些諸如此類的小問題，建議先去問公司資深的資訊前輩，問他們會比在這裡片面發段落式的問題還得好很多，整理完資訊再來詢問，這裡的高手可能會回答得更精準。

camelchen1963 iT邦新手 5 級 ‧ 2023-08-02 12:04:51 檢舉

要先了解貴司有沒有 DNS 跟 NTP server, 就好像我在家裡沒有這些 server, 我只好設定在外面公用的 server, 53 跟 123 鎖起來, 貴司就無法解析 DNS 跟對時了! 考慮一下貴司的運作, 不是有洞就把它關掉!

rb1102 iT邦研究生 5 級 ‧ 2023-08-03 01:31:00 檢舉

我是設定一律只能使用內部DNS進行查詢，轉寄站再設定外部DNS
因為如果你公司有內部官網或者服務，client設定外部DNS會無法解析。
如果有AD，DC會自動作為NTP server，維持所有裝置的鐘訊同步是AD運維的重要因素

竹本立里 iT邦好手 1 級 ‧ 2023-08-04 09:24:06 檢舉

NAS 可以透過GPS 教時,這樣防火牆就不用開Port 123 了

weirdfield iT邦新手 4 級 ‧ 2023-08-29 09:30:22 檢舉

防火牆有提供DNS伺服器，那我這邊意思是說，把USER端的電腦DNS指向防火牆，然後單獨開放53port給防火牆就好了，其他user端，就禁止53port，這樣做不知道會不會比較好，但是上面也有大大提到說，會造成防火牆的負擔。
另外，我沒有前輩可以問XD。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

DennisLu

iT邦研究生 1 級 ‧ 2023-08-02 12:01:55

Q:請問公司內部都是手動輸入ip位置例如:192.168.1.x，但dns的部分都設定168.95.1.1，但這樣好像是不是資安上的疑慮？

DNS可以自己架設，也可以使用公共具公信力的，國內大部分都用中華電信的168.95.1.1。
假設如果你真的這麼在意使用外部服務，自己架設了一台dns Server，所有的user都設這台，
但是只是省dns出去向外查詢流量負載，你要讓user能正常上網，你的dns還是要設定萬一不在dns快取記錄中的還是要向外跟168.95.1.1查詢回來回應給user。那最終還是往168.95.1.1，你可以只設定你的dns可以lan to wan 到168.95.1.1 做dns查詢。
除非你的user都不對外上網。

Q:如果防火牆位置為192.168.1.1，那dns應該要設定192.168.1.1嗎？
假設你的防火牆有dns功能，那當然可以，但防火牆其實沒這麼多性能，去給你榨乾。
問題是你的防火牆有dns service嗎?沒有幹嘛要user端設上去呢?

Q:然後防火牆禁止53port嗎？
前提是你自己有架設dns server，然後只放行dns server向外查。
你的user都設內部dns server，它自然也不會出去。
我們講的都是lan to wan讓內部正常使用，看過有人設定wan to lan，然後dns server就被XXX。
我猜是曾經有人以為雙向都要設定搞出來的坑。

Q:另外NTP的話，如果公司NAS有提供NTP服務，是不是也要指向該台，然後對外也要禁止123 PORT嗎？

跟dns一樣，假設應用面都去用內部 server，他自然不會向外使用，但也可以設定，沒被你設定到的他也沒辦法出去用外面的。
那你NAS被用來大家校正，那NAS去跟誰校正?那NAS就開放他可以lan to wan訪問外部具公信力的NTP服務。

你有資安疑慮，防外部攻擊是要看wan to lan的設置，有沒有被開不知道的規則只向你的內部服務，
國內IT生態通常接手的時候是未交接，所以根本不知道前任有開過什麼洞，有些上任會收集，有些等出事了才知道或還是不知道。
wan to lan 大多預設都是deny all，因為那非上網的必須條件，是架設公開服務才需要。

lan to wan 鬆一點的是 allow all，通常這樣比較好上線，畢竟大多需求是要能正常上網。
當然也有lan to wan deny all做預設的然後再加規則只放行想要的可以出去，那通常是連user上網都要管制的。

所以敘述要不要開什麼，建議是加上 wan to lan 或 lan to wan 什麼udp/tcp port 是否要放行或封鎖。