iT邦幫忙

0

請問公司內部的電腦DNS及NTP設定的問題

  • 分享至 

  • xImage

請問公司內部都是手動輸入ip位置例如:192.168.1.x,但dns的部分都設定168.95.1.1,但這樣好像是不是資安上的疑慮?
如果防火牆位置為192.168.1.1,那dns應該要設定192.168.1.1嗎?
然後防火牆禁止53port嗎?

另外NTP的話,如果公司NAS有提供NTP服務,是不是也要指向該台,然後對外也要禁止123 PORT嗎?

目的就是把公司內部的123及53port都鎖起來,不知道這樣做會不會比較好呢?

看更多先前的討論...收起先前的討論...
mathewkl iT邦高手 1 級 ‧ 2023-08-02 10:46:38 檢舉
中華電信DNS有資安疑慮? 你的問題點是在哪?
NAS的NTP也要向外部NTP校時伺服器同步時間,鎖起來NAS的NTP也不會準,除非你定期手動修正時間
阿摔 iT邦新手 3 級 ‧ 2023-08-02 10:55:11 檢舉
你的DNS跟NTP只要內部有往外查找的需求都需要連到外面去抓
不管是否在內部架設了DNS跟NTP
內部有架設的區別只是在於DNS跟NTP往外去抓跟Client直接往外去抓而已
James iT邦大師 6 級 ‧ 2023-08-02 10:55:24 檢舉
有一點規模的大致上都是用內部自己的dns和ntp,讓環境單純比較好查問題
froce iT邦大師 1 級 ‧ 2023-08-02 11:05:31 檢舉
DNS部分,DNS如果是有公信力的可以不用考慮這麼多,你要考慮的應該是網路內部自己server的domain name解析問題。
就算自己架通常最終也是會指向外部。
另外DNS設外部不是不可以,是不是每個人都有權限改才是大問題。

NTP如果有架AD的話,建議指向AD的,NTP也一樣通常會指向一個外面的伺服器,除非你自己買校時模組自己搞...
DNS 設定成 168.95.1.1 代表 貴公司沒有 DNS server, 是往外使用 Hinet 的 DNS server, 所以 貴公司的防火牆不能封阻 53 port, 192.168.1.1 是 無線 ap 或 防火牆的位址或 gateway 的位址, DNS 跟 NTP 是否能設成 192.168.1.1? 要看這個設備有沒有提供囉!
您應該先請教一下 你們公司資訊前輩 架構還有一些設備問題,感覺您對一些公司資訊的基礎好像有不了解的地方,建議先去補足。
NTP的話就只有針對這台開放123port,但其實我所困惑的事情是,到底內部的電腦去對外查詢NTP還是DNS,會不會有資安上的風險而已,對於這方面實在很不懂,所以問一些白癡的話,還請各位見諒及提供比較好建議。
另外就是想把公司內部的電腦的123及53port都鎖起來。 這樣做不知到會不會比較好?
mathewkl iT邦高手 1 級 ‧ 2023-08-02 11:54:07 檢舉
如果DNS查詢這個行動有風險代表接收查詢請求的DNS站台本身就是個風險,把網址解析後送回惡意IP,如果查詢的網址就是個惡意站台那應該是防火牆/防毒要擋下可疑動作而不是鎖掉整個53port
建議您還是先去 問問 您公司 資深的前輩 公司架構問題跟這設定的用途,先不恥下問一番,等都有基礎的理解,再去查詢變動更改,不然你可能連基礎都不清楚DNS為什麼要指168.95.1.1為什麼不指8.8.8.8或是192.168.1.1等等的?還有你們的防火牆有把DNS record 壓在防火牆上之類的,這比較偏基礎架構也沒誰對誰錯問題,白不白癡這無從判斷,要先理解公司架構還有目前用法之類才知道,還有從上面的問題聽起來,你對網路這塊地理解感覺不是很清楚,如同上面前輩提到對外檔掉NTP那怎麼會有反應? 等等一些諸如此類的小問題,建議先去問公司資深的資訊前輩,問他們會比在這裡片面發段落式的問題還得好很多,整理完資訊再來詢問,這裡的高手可能會回答得更精準。
要先了解貴司有沒有 DNS 跟 NTP server, 就好像我在家裡沒有這些 server, 我只好設定在外面公用的 server, 53 跟 123 鎖起來, 貴司就無法解析 DNS 跟對時了! 考慮一下 貴司的運作, 不是有洞就把它關掉!
rb1102 iT邦研究生 2 級 ‧ 2023-08-03 01:31:00 檢舉
我是設定一律只能使用內部DNS進行查詢,轉寄站再設定外部DNS
因為如果你公司有內部官網或者服務,client設定外部DNS會無法解析。
如果有AD,DC會自動作為NTP server,維持所有裝置的鐘訊同步是AD運維的重要因素
NAS 可以透過GPS 教時,這樣防火牆就不用開Port 123 了
防火牆有提供DNS伺服器,那我這邊意思是說,把USER端的電腦DNS指向防火牆,然後單獨開放53port給防火牆就好了,其他user端,就禁止53port,這樣做不知道會不會比較好,但是上面也有大大提到說,會造成防火牆的負擔。
另外,我沒有前輩可以問XD。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
DennisLu
iT邦好手 1 級 ‧ 2023-08-02 12:01:55

Q:請問公司內部都是手動輸入ip位置例如:192.168.1.x,但dns的部分都設定168.95.1.1,但這樣好像是不是資安上的疑慮?

DNS可以自己架設,也可以使用公共具公信力的,國內大部分都用中華電信的168.95.1.1。
假設如果你真的這麼在意使用外部服務,自己架設了一台dns Server,所有的user都設這台,
但是只是省dns出去向外查詢流量負載,你要讓user能正常上網,你的dns還是要設定萬一不在dns快取記錄中的還是要向外跟168.95.1.1查詢回來回應給user。那最終還是往168.95.1.1,你可以只設定你的dns可以lan to wan 到168.95.1.1 做dns查詢。
除非你的user都不對外上網。

Q:如果防火牆位置為192.168.1.1,那dns應該要設定192.168.1.1嗎?
假設你的防火牆有dns功能,那當然可以,但防火牆其實沒這麼多性能,去給你榨乾。
問題是你的防火牆有dns service嗎?沒有幹嘛要user端設上去呢?

Q:然後防火牆禁止53port嗎?
前提是你自己有架設dns server,然後只放行dns server向外查。
你的user都設內部dns server,它自然也不會出去。
我們講的都是lan to wan讓內部正常使用,看過有人設定wan to lan,然後dns server就被XXX。
我猜是曾經有人以為雙向都要設定搞出來的坑。

Q:另外NTP的話,如果公司NAS有提供NTP服務,是不是也要指向該台,然後對外也要禁止123 PORT嗎?

跟dns一樣,假設應用面都去用內部 server,他自然不會向外使用,但也可以設定,沒被你設定到的他也沒辦法出去用外面的。
那你NAS被用來大家校正,那NAS去跟誰校正?那NAS就開放他可以lan to wan訪問外部具公信力的NTP服務。

你有資安疑慮,防外部攻擊是要看wan to lan的設置,有沒有被開不知道的規則只向你的內部服務,
國內IT生態通常接手的時候是未交接,所以根本不知道前任有開過什麼洞,有些上任會收集,有些等出事了才知道或還是不知道。
wan to lan 大多預設都是deny all,因為那非上網的必須條件,是架設公開服務才需要。

lan to wan 鬆一點的是 allow all,通常這樣比較好上線,畢竟大多需求是要能正常上網。
當然也有lan to wan deny all做預設的然後再加規則只放行想要的可以出去,那通常是連user上網都要管制的。

所以敘述要不要開什麼,建議是加上 wan to lan 或 lan to wan 什麼udp/tcp port 是否要放行或封鎖。

0
sd3388
iT邦好手 1 級 ‧ 2023-08-02 12:45:09

DNS及NTP的服務
通常是公司內部的伺服器提供
如果client設定正確
可以讓相關server使用外都阻擋
不過一定要先有把握相關設定都正確

但是有些公司並沒有AD等相關server
這時候封鎖相關服務就會不能上網
雖然168.95.1.1並不會濾掉一些惡意網站
但確實大家使用還算穩定
可以考慮改用1.1.1.1或9.9.9.9

1

你忘了
DoH
DoT
為了資安要全擋才對(反串要說明)

obarisk iT邦研究生 1 級 ‧ 2023-08-03 09:17:31 檢舉

其實對外那條要拔掉吧...

阿摔 iT邦新手 3 級 ‧ 2023-08-04 09:53:04 檢舉

沒錯
最安全的就是通往外部的線拔掉
再把USB封死
最後把Admin權限收回

我要發表回答

立即登入回答