Klassische Vorgehensweise:
1. Der interne DNS beantwortet Anfragen *nur* für interne Geräte und
nur für interne Namen. Wozu sollte der interne DNS externe Namen
auflösen können, wenn die Endgeräte nichts *direkt* im Internet
verloren haben?
2. Der Bevollmächtigte (Proxy) bzw. Mailserver für externe
Kommunikation, der in einer DMZ zu stehen hat befragt einen DNS *in*
der DMZ für externe Namen und den internen DNS (oder er ist selbst
ein Spiegel davon) für interne Namen.
3. Der Zugang zur externen Kommunikation ist nur nach
Authentifizierung am Web-Proxy/SMTP möglich.
Wo ist also tatsächlich das Problem?
Das Problem existiert, weil heute fast niemand mehr "klassische"
Strukturen für die Trennung von internen und externen Netzen
verwendet. Man darf es ja dem Management und den Mitarbeitern nicht
zu schwer machen eine Email zu verschicken oder x-beliebige Webseiten
aufzurufen.
Zum Artikel - ja, dass Hotspots gerne schon die DNS-Auflösung
erlauben (und zwar beliebige) habe ich auch schon genutzt. Es liegt
meistens daran, dass die Trennung von internen und externen
Namensabfragen (siehe 1. und 2.) nicht durchgeführt wird.
der bit-popler
1. Der interne DNS beantwortet Anfragen *nur* für interne Geräte und
nur für interne Namen. Wozu sollte der interne DNS externe Namen
auflösen können, wenn die Endgeräte nichts *direkt* im Internet
verloren haben?
2. Der Bevollmächtigte (Proxy) bzw. Mailserver für externe
Kommunikation, der in einer DMZ zu stehen hat befragt einen DNS *in*
der DMZ für externe Namen und den internen DNS (oder er ist selbst
ein Spiegel davon) für interne Namen.
3. Der Zugang zur externen Kommunikation ist nur nach
Authentifizierung am Web-Proxy/SMTP möglich.
Wo ist also tatsächlich das Problem?
Das Problem existiert, weil heute fast niemand mehr "klassische"
Strukturen für die Trennung von internen und externen Netzen
verwendet. Man darf es ja dem Management und den Mitarbeitern nicht
zu schwer machen eine Email zu verschicken oder x-beliebige Webseiten
aufzurufen.
Zum Artikel - ja, dass Hotspots gerne schon die DNS-Auflösung
erlauben (und zwar beliebige) habe ich auch schon genutzt. Es liegt
meistens daran, dass die Trennung von internen und externen
Namensabfragen (siehe 1. und 2.) nicht durchgeführt wird.
der bit-popler