Последствия для конфиденциальности DNS-сервера всей локальной сети
У моего университетского отдела есть локальный DNS-сервер, который обслуживает все компьютеры в отделе. Я обеспокоен последствиями этого для конфиденциальности и безопасности. Предположим, что я всего лишь один из пользователей рабочей станции, у которого нет привилегированного доступа к DNS-серверу или любому HTTP-прокси.
- Могу ли я использовать DNS-сервер, чтобы определить, получил ли кто-то еще в отделе доступ к странице на каком-либо произвольном внешнем WWW-сайте? Могу ли я сделать это для доступа в течение последних нескольких секунд?
- Если ответ на предыдущий вопрос "Да". какие компромиссы я должен сделать, чтобы закрыть эту утечку? Если необходимо внести изменения в DNS-сервер, какую форму они примут? Могу ли я решить эту проблему исключительно с отдельной стороны рабочей станции, не касаясь сервера?
- Повлияет ли это на установку более одного DNS-сервера? Если так, то как? Как насчет запуска DNS-серверов на рабочих станциях?
- Это на самом деле утечка? Смогу ли я определить ту же информацию без использования DNS-сервера? Смогу ли я определить лучшую информацию?
2 ответа
Бежать nslookup example.com (где example.com - это доменное имя). Если возвращается "неавторизованный", то запись кэшируется; если нет, значит, он связался с авторитетным сервером.
Это не верный способ узнать, так как сервер может быть настроен на никогда не кэшировать. Вы должны смотреть журналы на сервере, чтобы знать с какой-либо степенью достоверности (при условии, что журналы существуют).
Ты не можешь быть уверен на 100%. Хотя это маловероятно, но вполне возможно, что кто-то зашел на этот веб-сайт, не касаясь ваших DNS-серверов. Возможно, они использовали общедоступные DNS-серверы или, возможно, получили доступ к сайту через его IP-адрес.
Если весь ваш HTTP(S) трафик направляется через прокси-сервер, вам лучше всего получить доступ к журналам прокси-сервера.
Изменить: Просто заметил ваш комментарий, в этом случае правильный ответ - поговорить с системным администратором, но он должен отклонить ваш запрос на эту информацию, если он выполняет свою работу должным образом.