プライベートDNSとパブリックDNSの使用の長所と短所

パブリックDNSサーバーがあることは、ネットワーク内のすべてのドメイン名を認識していることを意味しないことに注意してください。設計によるDNSは、すべてのゾーンの信頼できるコピーがあることを意味するのではなく、階層的な命名システムを使用します。

セキュリティとプライバシーの理由から、パブリックDNSサーバーとプライベートDNSサーバーは分割されています。すべての内部ドメイン名（たとえば、Active Directoryドメインによって使用される）をアドバタイズすると、これらのマシンのローカルIPを誤ってアドバタイズする可能性があります。これは、外部ホストがこれらのマシンにアクセスできることを意味するものではありませんが、攻撃者にとって貴重な情報を漏洩します。

したがって、パブリックドメイン用に別のDNSサーバーを用意するオプションがあります。このDNSサーバーは内部ドメインについて何も認識していないため、内部で使用されているドメイン名をアドバタイズできません。誰もがパブリックDNSサーバーにクエリを実行できます。次のことを確認してください。

• パブリックDNSの再帰を無効にして、権限のあるドメインのDNS要求にのみ応答するようにします。 （インターネットから内部ネットワークに向かう外部IPを許可しないようにファイアウォールを構成する場合、DNSキャッシュポイズニングを防止します。これは、スプーフィング時に使用されます）

次に、プライベートDNSサーバーも実行します（内部DNSサーバーは内部IPからのみアクセス可能であり、内部IPにのみ応答する必要があります）。このDNSサーバーには、内部ドメインに関する情報が含まれています。これは再帰的に構成できるため、権限のないドメインを解決することもできます。確認してください：

• 内部ドメインのIPにのみ応答することの重要性を強調することはできません。これにより、外部DNSが成功する可能性も大幅に軽減されます。
• また、フォワーダーではなくルートヒントのみを使用するようにこのDNSサーバーを構成します（これにより、MITM攻撃を大幅に軽減できます）。
• ローカルキャッシングネームサーバーを使用する（NXDOMAINハイジャックを防止するため）
• 最初のポイントを考慮に入れていることを確認する限り、プライベートDNSサーバーで再帰が許可されます。

split-horizo​​n DNS のオプションもあります

コンピュータネットワーキングでは、スプリットホライズンDNS、スプリットビューDNS、またはスプリットDNSは、通常DNS要求の送信元アドレスによって選択されるさまざまなDNS情報のセットを提供するドメインネームシステム（DNS）実装の機能です。この機能は、ネットワーク内部のアクセス（会社などの管理ドメイン内）と安全でないパブリックネットワーク（インターネットなど）からのアクセスのためのDNS情報を論理的または物理的に分離することにより、セキュリティとプライバシーを管理するメカニズムを提供できます。スプリットホライズンDNSの実装は、ハードウェアベースの分離またはソフトウェアソリューションによって実現できます。ハードウェアベースの実装では、関係するネットワーク内で必要なアクセスの細分性を得るために、個別のDNSサーバーデバイスを実行します。ソフトウェアソリューションは、同じハードウェア上の複数のDNSサーバープロセス、またはDNSゾーンレコードへのアクセスを区別する組み込み機能を備えた特別なサーバーソフトウェアを使用します。後者は、DNSプロトコルの多くのサーバーソフトウェア実装（DNSサーバーソフトウェアの比較を参照）の一般的な機能であり、他のすべての形式の実装は任意のDNSで実現できるため、スプリットホライズンDNSという用語の暗黙の意味になる場合があります。サーバーソフトウェア。

[〜＃〜] dnssec [〜＃〜] もご覧ください。

ドメインネームシステムセキュリティ拡張機能（DNSSEC）は、インターネットプロトコル（IP）ネットワークで使用されるドメインネームシステム（DNS）によって提供される特定の種類の情報を保護するためのInternet Engineering Task Force（IETF）仕様のスイートです。これは、DNSクライアント（リゾルバー）に提供するDNSの拡張機能のセットであり、DNSデータのオリジン認証、認証済みの存在拒否、およびデータの整合性を提供しますが、可用性や機密性は提供しません。

時間をかけて、これらすべてのプロトコルに慣れることをお勧めします。

コンピュータをDNSサーバーに登録している場合、インターネット上の誰もがCEOのラップトップのアドレスを照会できるようにしたくないでしょう。同様に、開発サーバーや非通知サービス用のサーバーなどを公開したくない場合もあります。

DNSサーバーに他のサイトのパブリックアドレスを照会する限り、プロキシ経由でこれらのサイト要求の一部をリダイレクトしたり、悪意のあるサイトからユーザーをリダイレクトしたりできます。ネットワークとインターネットの間のDNSトラフィックの量を削減したい場合や、すべてのユーザーが適切なDNSサーバーを使用していることを確認したい場合があります。指定されたDNSサーバー以外からDNSをインターネットに送信しないことは、ユーザーのマシンがすべてのルックアップに対して不明でハイジャックされた可能性のあるDNSサーバーをクエリしないことを意味します。

プライベートDNSサーバーには、システム管理者にとっていくつかの利点があります。

• プライベートDNSはプライベートネットワーク内でのみ使用できるため、そのDNSサーバーはネットワーク内でのみ有効なドメインを解決できます。たとえば、「greatplains.accounting.int」を会社のメインのERP=サーバーに解決します。同様に、すべてのマシンにbrandon.smith.laptopのようなドメイン名を付けて、 DNSサーバーはDHCPと同期してIPアドレスを最新の状態に保ちます（IPアドレスが頻繁に変更される場合、ローカルマシンはDNS要求と無効になった応答をキャッシュするため、あまり良い考えではありません）
• 同様に、DNSは貧乏人のブラックリストとして使用できます。ネットワーク内のユーザーに閲覧させたくない任意のドメイン（ポルノサイト、既知のマルウェアサイト、その他の仕事以外）をプライベートDNSにリストし、内部ページにルーティングして、「ねじ込むのをやめて仕事に戻る」ように伝えることができます。トラフィックアナライザーなど、このための優れたツールがあり、常に回避策がありますが、機能します。
• さまざまなクライアントをさまざまなサービスエンドポイントIPにルーティングするさまざまな内部DNSサーバーをポイントすることにより、おおまかなレベルの負荷分散を行うこともできます。繰り返しますが、より優れたツールが利用可能ですが、これは機能します。
• プライベートDNSサーバーを使用すると、ネットワークの信頼できる親DNSサーバー（自分のサーバーではできないアドレスを解決する方法を知っているサーバー）をリアルタイムで制御できます。 ISPが「私たちのDNSがハッキングされたので、通知がない限り、代わりのDNSを使用してください」と電話してきたら、新しいDNSを信頼できる親として参照するようにプライベートDNSを更新し、ユーザーに開くように指示するだけです。コマンドプロンプトと入力ipconfig /flushdns、ネットワークドメインコントローラー（DHCP、グループポリシー）のDNS設定を変更するのではなく、全員にコンピューターの再起動またはネットワークアドレス情報の再取得を要求します。