Domínio de nível superior / sufixo de domínio para rede privada?

115

Em nosso escritório, temos uma rede local com uma configuração de DNS puramente interna, na qual todos os clientes são nomeados whatever.lan. Também tenho um ambiente VMware e, na rede somente de máquina virtual, nomeio as máquinas virtuais whatever.vm.

Atualmente, essa rede para as máquinas virtuais não está acessível a partir da nossa rede local, mas estamos configurando uma rede de produção para a qual migrar essas máquinas virtuais, que estará acessível a partir da LAN. Como resultado, estamos tentando estabelecer uma convenção para o sufixo de domínio / TLD que aplicamos aos convidados nessa nova rede que estamos montando, mas não podemos criar uma boa, considerando isso .vm, .locale .lantodos têm conotações existentes em nosso ambiente.

Então, qual é a melhor prática nessa situação? Existe uma lista de TLDs ou nomes de domínio em algum lugar seguro para usar em uma rede puramente interna?

Otto
fonte
2
Não use .local. Especialmente se você tiver clientes da Apple.
21449 RainyRat
2
.test é retirado por esse motivo: secure.wikimedia.org/wikipedia/en/wiki/.test
CWSpear
1
@CWSpear Esse não é o motivo real que.test está reservado, embora o torne um domínio seguro para redes de teste que não serão conectadas à Internet.
precisa saber é o seguinte
10
@Oto as práticas recomendadas determinam que você adquira um nome de domínio "real" (em um TLD reconhecido pela ICANN) e crie um subdomínio para o seu material local (por exemplo mydomain.com, registre-se , delegue internal.mydomain.compara um NS interno e configure o DNS de horizonte dividido ( "views" no BIND) para que você não vaze nomes / endereços internos na Internet. Não é tão bonito quanto um TLD / pseudo-TLD, mas é menos propenso a quebrar, pois está sob seu controle.
voretaq7
9
No entanto : não use um nome de domínio real que você já tenha usado para serviços de produção voltados para o público. Existem várias interações que são permitidas entre www.example.come *.internal.example.comque não são permitidas entre www.example.come *.example.net, principalmente, a configuração de cookies entre sites. A execução de serviços internos e externos no mesmo domínio aumenta o risco de que um comprometimento de um serviço público ofereça alguma entrada para os serviços internos e, inversamente, que um serviço interno inseguro possa provocar uso indevido interno de um serviço externo.
bobince

Respostas:

94

Não use um TLD inventado. Se a ICANN delegasse, você estaria com um grande problema. A mesma coisa se você se fundir com outra organização que por acaso usar o mesmo TLD fictício. É por isso que nomes de domínio globalmente exclusivos são preferidos.

O padrão, RFC 2606 reserva nomes para exemplos, documentação, testes, mas nada para uso geral e por boas razões: hoje, é tão fácil e barato obter um nome de domínio real e exclusivo que não há um bom motivo para usar um manequim.

Portanto, compre iamthebest.orge use-o para nomear seus dispositivos.

bortzmeyer
fonte
53
Para ser totalmente seguro, eu colocaria tudo em um subdomínio do nome de domínio da minha empresa, como local.company.org, vm.company.org e assim por diante.
drybjed
4
+1 isso. Presumivelmente, sua empresa já possui um domínio. Basta criar um subdomínio a partir disso. Não precisa ser visível / resolvível fora da sua LAN.
Dan Carley
3
Bem, mesmo com advogados muito bons, você terá problemas para reivindicar ".lan" ou ".local" invocando uma marca comercial. E o argumento "é apenas interno" é extremamente fraco: as organizações se fundem, configuram redes privadas virtuais com organizações parceiras e simplesmente cometem erros de tal forma que vazam nomes "privados".
bortzmeyer 02/06/2009
8
Minha única questão é que você não pode "comprar" um domínio: você só pode alugar um domínio. Alguns bozo esquecem de pagar uma conta (e isso aconteceu em alguns casos de alto perfil) e uma parte essencial da sua configuração vai para algum invasor aleatório. Então você usa o domínio da sua empresa? Os executivos decidem mudar de marca ou serem comprados, e você fica com um nome antigo. .local costumava funcionar bem o suficiente, mas agora foi antecipado por uma certa empresa de maneiras que se recusam a ser boas. Eu realmente gostaria de ver algo como .lan ou .internal formalmente reservado para esse fim, mas até então essa é a melhor opção.
Joel Coel
6
Concorde com @Joel Coel, você é um locatário e nada mais. Deve haver dois nomes de TLDs reservados apenas para uso interno que devem ser considerados inválidos em público e inacessíveis pelas redes públicas. Um nome seria para uso doméstico interno e o segundo seria para uso comercial interno. Ambos seriam considerados "TLDs privados" no mesmo sentido em que temos "sub-redes privadas" que não são roteáveis ​​(192.168.xx e ilk). Isso permite que os usuários domésticos façam algo além de serem forçados a .local e mDNS. O mesmo vale para pequenas empresas que executam uma LAN interna atrás de um NAT sem domínio.
Avery Payne
49

Use um subdomínio do domínio registrado da sua empresa para máquinas internas cujos nomes você não deseja que estejam disponíveis na Internet. (Então, é claro, hospede apenas esses nomes nos servidores DNS internos.) Aqui estão alguns exemplos para a fictícia Example Corporation.

Servidores voltados para a Internet:
www.example.com
mail.example.com
dns1.example.com

Máquinas internas:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

Usei "corp" para significar que esse subdomínio descreveu máquinas na rede corporativa interna, mas você pode usar o que quiser aqui, como "internal": client1.internal.example.com.

Lembre-se também de que as zonas e subdomínios DNS não precisam se alinhar ao seu esquema de numeração de rede. Minha empresa, por exemplo, possui 37 locais, cada um com sua própria sub-rede, mas todos os locais usam o mesmo nome de domínio (interno). Por outro lado, você pode ter apenas uma ou algumas sub-redes, mas muitos domínios ou níveis internos de pares para ajudá-lo a organizar suas máquinas.

Jay Michaud
fonte
32

Há outra vantagem do uso de um subdomínio interno: usando inteligentemente sufixos de pesquisa e apenas nomes de host em vez do FQDN, é possível criar arquivos de configuração que funcionem tanto no desenvolvimento, no controle de qualidade e na produção.

Por exemplo, você sempre usa "database = dbserv1" no seu arquivo de configuração.

No servidor de desenvolvimento, você define o sufixo da pesquisa como "dev.example.com" => servidor de banco de dados usado: dbserv1.dev.example.com

No servidor de controle de qualidade, você define o sufixo da pesquisa como "qa.example.com" => servidor de banco de dados usado: dbserv1.qa.example.com

E no servidor de produção, você define o sufixo da pesquisa como "example.com" => servidor de banco de dados usado: dbserv1.example.com

Dessa forma, você pode usar as mesmas configurações em todos os ambientes.

geewiz
fonte
2
Isso é brilhante.
Chris Magnuson
19
Até que alguém configure incorretamente sua estação de trabalho com o sufixo de pesquisa de produção para testar um problema e, posteriormente, atualize inadvertidamente vários registros de produção.
Joel Coel
1
Isso é bastante bruto, os registros SRV são muito simples de analisar e podem ser colocados em qualquer zona, de modo que o mesmo servidor db atenda a várias zonas. Nesse caso, um pouco de código estaria preenchendo o valor nos seus arquivos de configuração. E você pode usar o nome do banco de dados como a chave SRV e o valor, é claro, apontando para o nome do host. Eu nunca confiaria em sufixos de pesquisa. Você também pode ser bastante criativo com registros TXT e preenchê-los com valores criptografados em aes-256 (depois codificados em base64), se forem segredos. Você pode usar registros TXT para todos os tipos de coisas.
figtrap
veja, mas o que eu quero é exemplo.com, exemplo.dev e exemplo.stg. Os dois últimos estão apenas em uma rede privada. Posso configurar um servidor DNS local para acesso zero à configuração? Ainda usando uma configuração semelhante aqui para todos os sites, apenas a mudança muda para tld. Fácil para .dev com um arquivo hosts, mas Configuração zero ...
DigitalDesignDj
15

Desde que as respostas anteriores a essa pergunta foram escritas, existem algumas RFCs que alteram um pouco as orientações. O RFC 6761 discute nomes de domínio de uso especial sem fornecer orientações específicas para redes privadas. A RFC 6762 ainda recomenda não usar TLDs não registrados, mas também reconhece que há casos em que isso será feito de qualquer maneira. Como o .local comumente usado entra em conflito com o DNS multicast (o tópico principal da RFC), o Apêndice G. Namespaces DNS privados recomenda os seguintes DPNs:

  • intranet
  • interno
  • privado
  • corp
  • casa
  • lan

A IANA parece reconhecer os dois RFCs, mas atualmente não incorpora os nomes listados no Apêndice G.

Em outras palavras: você não deve fazê-lo. Mas quando você decidir fazer isso de qualquer maneira, use um dos nomes acima.

blihp
fonte
O Apêndice G contém antes da lista que você cita: "Não recomendamos o uso de domínios de nível superior não registrados". Este é mais o ponto chave. Os nomes dados não são "recomendado" para usar, eles são apenas observados nomes visto que irá funcionar melhor do que .localo que é meio reservado para MulticastDNS, que é a discussão no Apêndice G.
Patrick Mevzek
2
Eu discordo. O ponto principal é o absurdo do conselho: 'não faça isso ... mas quando você fizer ...' A expectativa de que redes domésticas / pequenas empresas / redes públicas não registrem um TLD não é realista. As pessoas estão indo para usar TLDs não-registradas de modo muito melhor para ajudar a todos e dizer: 'OK, aqui está uma lista de TLDs não-registradas você pode usar internamente' em vez de fingir todo mundo vai seguir o conselho linha dura.
blihp
Permaneceremos em desacordo então. O fato de algumas pessoas terem usado o TLD como interno (por exemplo, .MAIL encontrado em muitas documentações) é exatamente o motivo pelo qual não foi possível delegar esses TLDs e agora estão indefinidamente mortos. Portanto, continuar recomendando às pessoas o uso de TLDs dessa maneira é um desserviço para a comunidade global da Internet. O conselho diz que, como alguns TLDs já são abusados ​​dessa maneira, se as pessoas precisam abusar, devem reutilizá-las em vez de abusar de novas. O RFC2606 é claro para os TLDs usarem internamente que funcionará:.EXAMPLE .TEST .INVALID
Patrick Mevzek
12

Como já foi dito, você não deve usar um TLD não registrado para sua rede privada. Especialmente agora que a ICANN permite que quase qualquer pessoa registre novos TLDs. Você deve usar um nome de domínio real

Por outro lado, a RFC 1918 é clara:

Referências indiretas a esses endereços devem estar contidas na empresa. Exemplos proeminentes de tais referências são os Registros de Recursos DNS e outras informações referentes aos endereços privados internos. Portanto, seu servidor de nomes também deve usar visualizações para impedir que os registros particulares sejam transmitidos na Internet.

Benoit
fonte
10

Nós tendemos a considerar nenhuma diferença na nomeação virtual de hosts do físico - na verdade, passamos a abstrair a configuração do host (software) da camada física.

Portanto, adquirimos itens de hardware e criamos itens de host sobre eles (e usamos um relacionamento simples para mostrar isso em nossa documentação).

O objetivo é que, quando existe um host, o DNS não deve ser o fator determinante - já que temos máquinas movendo-se de um espaço para o outro - por exemplo, um webapp de baixo desempenho não precisa consumir ciclos de CPU caros - virtualize-o e mantém seu esquema de nomeação, tudo continua funcionando.

Mike Fiedler
fonte
-4

Não sei se isso ajudará você, mas, para o DNS interno da minha conta da AWS, eu uso .awscomo tld e parece funcionar perfeitamente bem.

Eu sei que existem alguns TLDs que você simplesmente não deve usar, mas, além desses, não acho que seja muito rigoroso.

Eu trabalhei em algumas empresas maiores, onde elas usariam a fonte de autenticação como o TLD, ou seja, se fosse um servidor MS / Windows, usando o Active Directory como a fonte de autenticação .ad, e outras seriam .ldap(por que não está apenas usando a mesma fonte? ou servidores replicando do mesmo serviço de diretório? Eu não sei, era assim quando cheguei lá)

Boa sorte

Justin
fonte
2
Amazon já registrado .awscomo um TLD de modo que você pode começar a ver problemas, eventualmente: nic.aws
Mark McKinstry
1
Para obter informações, os .aws está registrado recentemente "25 mar 2016" => newgtlds.icann.org/en/program-status/delegated-strings
de Bruno Adele
Embora eu não pense que usar um TLD falso seja tão importante, pelo menos não se todo o sistema estiver fechado e usar um proxy para se comunicar com a Internet em geral, ".aws" é uma péssima escolha, a menos que você NÃO está na AWS! Existem muitos cenários concebíveis em que você não poderá mais se comunicar com a AWS.
figtrap