Pertanyaan Akhiran domain / domain tingkat atas untuk jaringan pribadi?


Di kantor kami, kami memiliki jaringan area lokal dengan setup DNS internal murni, di mana semua klien dinamai whatever.lan. Saya juga memiliki lingkungan VMware, dan pada jaringan virtual-machine-only, saya beri nama mesin virtual whatever.vm.

Saat ini, jaringan untuk mesin virtual ini tidak dapat dijangkau dari jaringan area lokal kami, tetapi kami sedang menyiapkan jaringan produksi untuk memigrasi mesin virtual ini ke, yang akan dapat dijangkau dari LAN. Akibatnya, kami mencoba menyelesaikan konvensi untuk domain akhiran / TLD yang kami terapkan untuk para tamu di jaringan baru ini yang kami siapkan, tetapi kami tidak dapat menemukan yang bagus, mengingat bahwa .vm, .local dan .lan semua memiliki konotasi yang ada di lingkungan kita.

Jadi, apa praktik terbaik dalam situasi ini? Apakah ada daftar TLD atau nama domain di suatu tempat yang aman untuk digunakan untuk jaringan internal murni?


103
2018-06-01 21:47




Jangan gunakan .local. Terutama jika Anda punya klien Apple. - RainyRat
.test disisihkan untuk alasan ini: secure.wikimedia.org/wikipedia/en/wiki/.test - CWSpear
@CWSpear Itu bukan yang sebenarnya alasan  .test dicadangkan, meskipun itu menjadikannya sebagai domain aman untuk digunakan uji jaringan yang tidak terhubung ke internet. - voretaq7
@Otto praktik terbaik akan menentukan bahwa Anda memperoleh nama domain "nyata" (di bawah TLD yang diakui ICANN) dan membuat subdomain untuk barang lokal Anda (misalnya daftar mydomain.com, delegasikan internal.mydomain.com ke NS internal, dan dengan benar mengkonfigurasi split horizon DNS ("views" di BIND) sehingga Anda tidak membocorkan nama / alamat internal ke internet. Ini tidak secantik TLD / pseudo-TLD, tetapi kurang rentan terhadap kerusakan karena berada di bawah kendali Anda. - voretaq7
Namun: jangan menggunakan nama domain asli yang telah Anda gunakan untuk layanan produksi yang menghadap ke publik. Ada berbagai interaksi yang diizinkan di antara keduanya www.example.com dan *.internal.example.com yang tidak diizinkan di antara www.example.com dan *.example.net, terutama pengaturan cookie lintas situs. Menjalankan layanan internal dan eksternal pada domain yang sama meningkatkan risiko bahwa kompromi layanan publik akan memberikan beberapa akses ke layanan internal, dan sebaliknya bahwa layanan internal yang tidak aman dapat memicu penyalahgunaan internal layanan eksternal. - bobince


Jawaban:


Jangan gunakan TLD yang dibuat. Jika ICANN mendelegasikannya, Anda akan berada dalam masalah besar. Hal yang sama jika Anda bergabung dengan organisasi lain yang kebetulan menggunakan TLD dummy yang sama. Itulah sebabnya mengapa nama domain yang unik secara global lebih disukai.

Standar, RFC 2606 Cadangan nama untuk contoh, dokumentasi, pengujian, tetapi tidak ada untuk penggunaan umum, dan untuk alasan yang baik: hari ini, sangat mudah dan murah untuk mendapatkan nama domain yang nyata dan unik yang tidak ada alasan yang baik untuk menggunakan satu boneka.

Jadi, beli iamthebest.org dan gunakan untuk memberi nama perangkat Anda.


85
2018-06-02 07:39



Agar benar-benar aman, saya akan meletakkan segala sesuatu di subdomain dari nama domain perusahaan saya, seperti local.company.org, vm.company.org, dan seterusnya. - drybjed
Beri ini +1. Agaknya perusahaan Anda sudah memiliki domain. Buat saja sub-domain dari ini. Tidak harus terlihat / dapat diselesaikan di luar LAN Anda. - Dan Carley
Yah, bahkan dengan pengacara yang sangat baik, Anda akan kesulitan mengklaim ".lan" atau ". Lokal" dengan menerapkan merek dagang. Dan argumen "hanya internal" sangat lemah: organisasi bergabung, membuat jaringan pribadi virtual dengan organisasi mitra dan hanya membuat kesalahan sehingga nama "pribadi" bocor. - bortzmeyer
Daging sapi saya hanya dengan ini adalah bahwa Anda tidak dapat benar-benar "membeli" domain: Anda hanya dapat menyewa satu. Beberapa bozo lupa untuk membayar tagihan (dan ini telah terjadi dalam beberapa kasus profil tinggi) dan bagian inti dari konfigurasi Anda pergi ke beberapa penghuni liar acak. Jadi Anda menggunakan domain perusahaan Anda? Exec memutuskan untuk mengubah atau membeli, dan Anda terjebak dengan nama lama. .lokal digunakan untuk bekerja dengan cukup baik, tetapi sekarang telah didahului oleh perusahaan tertentu dengan cara yang menolak untuk bermain bagus. Saya sangat ingin melihat sesuatu seperti .lan atau .internal secara formal disediakan untuk tujuan ini, tetapi sampai saat itu ini adalah pilihan terbaik. - Joel Coel
Setuju dengan @Joel Coel, Anda adalah penyewa, dan tidak lebih. Harus ada dua nama TLD yang dipesan hanya untuk penggunaan internal yang harus dianggap tidak valid di publik dan tidak dapat dijangkau oleh jaringan publik. Satu nama akan digunakan untuk rumah internal, nama kedua akan digunakan untuk bisnis internal. Keduanya akan dianggap "TLD pribadi" dalam arti yang sama bahwa kita memiliki "subnet pribadi" yang tidak dapat dirutekan (192.168.x.x dan sejenisnya). Ini memungkinkan pengguna di rumah untuk melakukan sesuatu selain dipaksa masuk ke .local dan mDNS. Ditto untuk usaha kecil yang menjalankan LAN internal di belakang NAT tanpa domain. - Avery Payne


Gunakan subdomain domain terdaftar perusahaan Anda untuk mesin internal yang namanya tidak Anda inginkan tersedia di Internet. (Kemudian, tentu saja, hanya host nama-nama di server DNS internal Anda.) Berikut adalah beberapa contoh untuk Corporation Contoh fiktif.

Server yang menghadap ke internet:
www.example.com
mail.example.com
dns1.example.com

Mesin internal:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

Saya menggunakan "corp" untuk menandakan bahwa subdomain ini menggambarkan mesin di jaringan internal perusahaan, tetapi Anda dapat menggunakan apa pun yang Anda inginkan di sini, seperti "internal": client1.internal.example.com.

Ingat juga, bahwa zona DNS dan subdomain tidak harus sejajar dengan skema penomoran jaringan Anda. Perusahaan saya, misalnya, memiliki 37 lokasi, masing-masing dengan subnetnya sendiri, tetapi semua lokasi menggunakan nama domain (internal) yang sama. Sebaliknya, Anda hanya dapat memiliki satu atau beberapa subnet, tetapi banyak domain internal rekan atau tingkat subdomain untuk membantu Anda mengatur mesin Anda.


46
2018-06-02 13:03





Ada keuntungan lain menggunakan subdomain internal: secara cerdik menggunakan sufiks pencarian dan hanya nama host daripada FQDN, Anda dapat membuat file konfigurasi yang berfungsi baik dalam pengembangan, QA dan produksi.

Misalnya, Anda selalu menggunakan "database = dbserv1" di file konfigurasi Anda.

Di server pengembangan, Anda menetapkan akhiran pencarian menjadi "dev.example.com" => server basis data yang digunakan: dbserv1.dev.example.com

Di server QA, Anda menetapkan akhiran pencarian menjadi "qa.example.com" => server database yang digunakan: dbserv1.qa.example.com

Dan di server produksi, Anda menetapkan akhiran pencarian ke "example.com" => server database yang digunakan: dbserv1.example.com

Dengan begitu, Anda bisa menggunakan pengaturan yang sama di setiap lingkungan.


29
2018-06-04 12:00



Itu brilian. - Chris Magnuson
Sampai seseorang salah-configs workstation mereka dengan akhiran pencarian produksi untuk menguji masalah, dan kemudian secara tidak sengaja memperbarui sekelompok catatan produksi. - Joel Coel
Itu cukup kasar, catatan SRV sangat mudah diuraikan dan dapat ditempatkan dalam zona apa pun, sehingga server db yang sama melayani beberapa zona. Dalam hal ini beberapa kode akan mengisi nilai dalam file konfigurasi Anda. Dan Anda dapat menggunakan nama database sebagai kunci SRV dan nilai yang mengarah ke nama host. Saya tidak akan pernah bergantung pada pencarian sufiks. Anda juga bisa menjadi sangat kreatif dengan data TXT, dan dapat mengisinya dengan nilai terenkripsi aes-256 (kemudian base64 dikodekan), jika itu rahasia. Anda dapat menggunakan data TXT untuk semua hal. - figtrap
lihat, tetapi yang saya inginkan adalah example.com, example.dev, dan example.stg. 2 terakhir hanya di jaringan pribadi, bisakah saya mengatur server DNS lokal untuk akses nol konfigurasi? Masih menggunakan konfigurasi serupa di sini untuk semua situs, hanya memindahkan perubahan ke tld. Mudah untuk .dev dengan file host, tetapi nol konfig ... - DigitalDesignDj


Seperti yang sudah dikatakan, Anda tidak boleh menggunakan TLD yang tidak terdaftar untuk jaringan pribadi Anda. Apalagi sekarang ICANN memungkinkan hampir semua orang untuk mendaftarkan TLD baru. Anda kemudian harus menggunakan nama domain asli

Di sisi lain, RFC 1918 jelas:

Referensi tidak langsung ke alamat tersebut   harus terkandung dalam   perusahaan. Contoh-contoh menonjol semacam itu   referensi adalah Catatan Sumber Daya DNS   dan informasi lain yang mengacu   alamat pribadi internal.   Jadi server nama Anda juga harus menggunakan tampilan untuk mencegah catatan pribadi ditransmisikan di Internet.


10
2018-06-02 12:41





Kami cenderung mempertimbangkan tidak ada perbedaan dalam penamaan virtual host dari fisik - pada kenyataannya, kami telah mengambil abstrak konfigurasi host (perangkat lunak) dari lapisan fisik.

Jadi kami membeli Item Perangkat Keras, dan membuat Item Host di atas mereka (dan menggunakan hubungan sederhana untuk menunjukkan itu di dokumentasi kami).

Tujuannya adalah ketika host ada, DNS tidak seharusnya menjadi faktor penentu - karena kita memiliki mesin yang bergerak dari satu ruang ke ruang lain - misalnya webapp berkinerja rendah tidak perlu mengkonsumsi siklus CPU yang mahal - virtualisasikan , dan mempertahankan skema penamaannya, semuanya terus bekerja.


8
2018-06-01 21:52





Saya tidak yakin ini akan membantu Anda, tetapi untuk DNS internal di dalam akun AWS saya, saya gunakan .aws sebagai tld, dan tampaknya berfungsi dengan baik.

Saya tahu ada beberapa TLD yang seharusnya tidak Anda gunakan, tetapi selain itu, saya tidak berpikir itu terlalu ketat.

Saya bekerja di beberapa perusahaan yang lebih besar, di mana mereka akan menggunakan sumber otentikasi sebagai TLD, yang berarti jika itu adalah server MS / Windows, menggunakan Active Directory sebagai sumber auth, itu akan menjadi .ad, dan beberapa lainnya akan .ldap (Mengapa mereka tidak hanya menggunakan sumber yang sama? Atau server yang mereplikasi dari layanan direktori yang sama? Saya tidak tahu, itu seperti itu ketika saya sampai di sana)

Semoga berhasil


-4
2018-02-29 14:28



Amazon kini terdaftar .aws sebagai TLD sehingga Anda mungkin mulai melihat masalah pada akhirnya: nic.aw - Mark McKinstry
Untuk informasi, .aws didaftarkan baru-baru ini "25 Maret 2016" => newgtlds.icann.org/en/program-status/delegated-strings - Bruno Adelé
Meskipun saya tidak berpikir menggunakan TLD palsu adalah masalah besar, setidaknya tidak jika seluruh sistem tertutup dan menggunakan proxy untuk berkomunikasi dengan internet secara luas, ".aws" adalah pilihan yang sangat buruk kecuali Anda TIDAK di AWS! Ada begitu banyak skenario yang mungkin di mana Anda tidak akan dapat berkomunikasi dengan AWS lagi. - figtrap