Split DNS
creation of some form of split DNS, also called split-horizon or dual-horizon DNS. This is a DNS installation where machines receive different IP address answers to queries depending on whether they are (commonly) inside or outside a firewall and an IP address reply from the DNS server gives a Private Network IP address that is different than the Public IP of your internet connection.
SplitDNS ist eine Technik zum Einrichten verschiedener Ansichten des DNS Raums für interne und externe Resolver. Es gibt mehrere Gründe, die für die splitDNS Implementierung sprechen.
Ein häufiger Grund für die Einrichtung einer DNS-System ist die „internen“ DNS-Informationen während einer echten Internetanfrage zu verbergen. Es wird diskuttiert, ob dies tatsächlich nützlich ist. Interne DNS-Informationen verlassen das Haus z.B via E-Mail-Header, und die meisten „Angreifer“ finden Sie diese Informationen auch mit andreren Mitteln.
Ein weiterer häufiger Grund für die Einrichtung einer Split DNS-System ist es, interne Netzwerke, die hinter Filtern oder in RFC 1918 Raum (reservierte IP-Raum, wie in RFC 1918 dokumentiert) werden an DNS im Internet zu lösen. Split DNS kann auch verwendet werden, um E-Mails von außerhalb zurück in das interne Netzwerk zu ermöglichen.
Hier ist ein Beispiel für eine geteilte DNS-Konfiguration:
Nehmen wir an, eine Firma namens Beispiel, Inc. (example.com) mehrere Corporate Websites, die ein internes Netzwerk mit reservierten Internet Protocol (IP)-Raum und eine externe entmilitarisierte Zone (DMZ) oder „außerhalb“ Ausschnitt aus einem Netzwerk ist, dass wird der Öffentlichkeit zur Verfügung.
Beispiel, Inc. will seine internen Kunden in der Lage sein zu externen Hostnamen aufzulösen und zu E-Mail mit den Menschen auf der Außenseite auszutauschen. Das Unternehmen will auch seine internen Resolver den Zugriff auf bestimmte nur den internen Zonen, die nicht verfügbar sind, überhaupt außerhalb des internen Netzwerks zu haben.
Um dies zu erreichen, wird das Unternehmen einzurichten zwei Sätze von Name-Servern. Ein Satz wird auf der Innenseite Netzwerk (in der reservierten IP-Raum) und der andere Satz wird auf Bastion-Hosts, die „proxy“-Hosts, die an beiden Seiten des Netzwerks, in der DMZ können werden.
Die internen Server so konfiguriert, dass alle Anfragen nach vorne, mit Ausnahme von Abfragen für site1.internal, site2.internal, site1.example.com und site2.example.com, um die Server in der DMZ. Diese internen Servern haben komplette Informationen für site1.example.com, site2.example.com, site1.internal und site2.internal.
Zum Schutz der site1.internal und site2.internal Domains, muss der interne Name-Server so konfiguriert, dass alle Anfragen an diese Domains verbieten von einem externen Rechner, inklusive der Bastion-Hosts werden.
Die externen Servern, die auf der Bastion-Hosts sind so konfiguriert, dass die „öffentliche“ Version der site1 und site2.example.com Zonen dienen. Dies könnte auch Dinge wie die Host-Datensätze für den öffentlichen Servern (www.example.com und ftp.example.com), und E-Mail Exchange (MX)
Die Konfiguration, bei der ihr interner Namensraum mit der offiziellen Domäne gleich ist, aber über getrennte Zonen bedient wird, ist mittlerweile angeraten. Nur so können URLs etc. sowohl intern als auch extern „gleich“ bleiben aber mit passenden DNS-Einträgen auch entsprechend referenziert werden.
Eine besondere Form der DNS-Konfiguration ist der so genannte geteilte Namensraum. Sehr viele Firmen nutzen als Active Directory Domäne den gleichen Namen wie die Domäne im Internet. Da ein DNS-Server allerdings immer nur genau eine Zone eines Namens halten kann, und Sie sicherlich nicht die Informationen aus ihrem internen DNS-Server im Internet preis geben wollen, werden solche Konfigurationen geteilt betrieben. Der Internet Provider betreibt die Zone für ihre Firma und führt darin im wesentlichen nur den MX-Eintrag und den A-Eintrag für den Rechner „www.example.com“ Sie selbst nutzen im internen Netzwerk ihre eigenen nicht aus dem Internet erreichbaren DNS-Server mit ihrer gleichnamigen Zone.
Dabei ist allerdings zu beachten, dass hier kein Forwarder o.ä., greift, wenn Sie intern den Namen „www.example.com“ auflösen wollen. Wenn es den Eintrag in ihrem internen DNS-Server nicht gibt, dann können Sie von intern ihre eigene Webseite nicht erreichen. In dieser Konstellation ist es daher sinnvoll, wenn der Administrator alle Einträge der externen Zone 1:1 in der internen Zone nachpflegt.
http://www.giritech.de/downloads/pdf/How%20to%20Configure%20Split%20DNS.pdf