Việc ánh xạ các máy chủ nội bộ tới các tên miền phụ có khiến chúng bị lộ nhiều hơn là chỉ sử dụng IP không?

Chúng tôi có một dịch vụ trực tuyến bao gồm một số phiên bản Amazon EC2. Chúng tôi định ánh xạ các phiên bản máy chủ nội bộ thành các tên miền phụ cho phù hợp thực tế nhưng một đồng nghiệp cho biết điều này cuối cùng có thể khiến máy chủ của chúng tôi tiếp xúc nhiều hơn với những kẻ tấn công (ví dụ: chúng có thể quét và nhắm mục tiêu chúng tôi dễ dàng hơn), tôi đã thử nghiên cứu về điều này nhưng thực sự không thể tìm thấy bất cứ điều gì, mặc dù tôi có thể đang sử dụng từ khóa sai. Nó có đúng không và tại sao?

Nó cho phép kẻ tấn công hoặc bất kỳ ai dễ dàng nhìn thấy bạn đang sử dụng Amazon EC2 hơn, nhưng điều đó cũng không thể bị ẩn ngay cả khi chỉ có địa chỉ IP.

Vấn đề thường xoay quanh việc làm:

dịch vụ nội bộ.example.com. CNAME some-provider-managed-instance.example.

là những gì xảy ra "sau này" và nếu bạn không cần dịch vụ này nhưng bạn vẫn tiếp tục sử dụng dịch vụ này CNAME bản ghi đáng lẽ phải bị xóa nhưng thường thì không.

Điều này được gọi là Bản ghi DNS lơ lửng (hoặc "DARE" vì một số lý do) và bạn có thể tìm thấy tất cả thông tin chi tiết tại https://scholarworks.wm.edu/cgi/viewcontent.cgi?article=1829&context=aspubs Ví dụ.

Mặc dù vậy, nó chỉ đơn giản là quản lý tốt khu vực của bạn và xóa mọi bản ghi DNS mà bạn không cần nữa, ngay khi bạn không cần chúng nữa. Bởi vì bất kỳ nhà cung cấp nào bạn sử dụng có thể không xác minh đúng quyền sở hữu và do đó, khi bạn tự ngừng sử dụng tài nguyên, một số khách hàng khác có thể tìm cách yêu cầu tài nguyên đó tại nhà cung cấp và sau đó họ giành được "quyền kiểm soát" một phần khu vực của bạn bởi vì BẠN có một bản ghi trong khu vực trỏ đến thứ gì đó hiện đang được kiểm soát bởi người khác ngoài bạn.

Tương tự, trong các trường hợp khác, khi bạn có CNAME vẫn tồn tại trong khi không cần thiết nhưng trỏ đến một tên dưới một tên miền không còn tồn tại nữa: bất kỳ ai cũng có thể đăng ký tên đó và sau đó giành quyền kiểm soát một phần không gian tên của bạn nhờ hồ sơ của bạn.

Vấn đề hoàn toàn giống nhau nếu bạn không có CNAME nhưng trực tiếp một Một/AAAA bản ghi trỏ đến một số địa chỉ IP được kiểm soát bên ngoài. Vì vậy, bản thân nó chỉ cần sử dụng một CNAME không gặp nhiều rủi ro hơn, ngoại trừ những rủi ro tiêu chuẩn với CNAME (vòng lặp, chuỗi quá dài, không thể sử dụng ở đỉnh, v.v.)

PS: nếu đồng nghiệp của bạn tuyên bố điều gì đó, bạn có thể muốn hỏi anh ấy thêm về điều đó và ít nhất là một số lập luận để có thể tìm kiếm về phía bạn và đưa ra kết luận của riêng bạn. Thật khó chính xác (với rất ít chi tiết trong câu hỏi của bạn) anh ấy đang nghĩ đến vectơ mối đe dọa chính xác nào và do đó tại sao anh ấy lại nghĩ như vậy.