Os registros DNS são informações privadas?

Supondo que você deseje criar um subdomínio que aponte para um local privado (talvez o local de um banco de dados ou o endereço IP de um computador no qual você não queira que as pessoas tentem usar o SSH), adicione um registro DNS chamado algo como isso:

private-AGhR9xJPF4.example.com

Isso seria "oculto" para todos, exceto aqueles que conhecem o URI exato para o subdoman? Ou existe alguma maneira de "listar" todos os subdomínios registrados de um domínio específico?

Existe algum tipo de consulta "lista de subdomínios" para DNS?

Não há consulta para esse fim específico, mas existem alguns métodos indiretos.

• Uma transferência de zona não incremental ( AXFR). A maioria dos operadores de servidor bloqueia transferências de zona para endereços IP específicos para impedir que partes não afiliadas bisbilhotem.
• Se o DNSSEC estiver ativado, NSECsolicitações iterativas poderão ser usadas para percorrer a zona . NSEC3foi implementado para tornar a caminhada na zona mais intensiva em termos computacionais.

Há também um truque que permitirá que alguém saiba se existe um subdomínio arbitrário.

        example.com. IN A 198.51.100.1
www.sub.example.com. IN A 198.51.100.2

No exemplo acima, wwwestá dentro sub. Uma consulta para sub.example.com IN Anão retornará uma seção ANSWER, mas o código do resultado será NOERROR em vez de NXDOMAIN, traindo a existência de registros mais abaixo na árvore. (apenas não como esses registros são nomeados)

O sigilo dos registros DNS deve sempre ser considerado?

Não. A única maneira de ocultar dados de maneira confiável de um cliente é garantir que ele nunca possa obter os dados para começar. Suponha que a existência de seus registros DNS seja espalhada entre quem tiver acesso a eles, de boca em boca ou observando os pacotes.

Se você está tentando ocultar registros de um cliente DNS roteável, está fazendo errado ™ . Verifique se os dados estão expostos apenas aos ambientes que precisam. (ou seja, use domínios roteados em particular para IPs privados) Mesmo que você tenha essa divisão configurada, suponha que o conhecimento dos endereços IP esteja espalhado de qualquer maneira.

O foco na segurança deve estar no que acontece quando alguém obtém o endereço IP, porque isso vai acontecer.

Estou ciente de que a lista de razões para o sigilo de endereço IP ser um sonho pode ser expandida ainda mais. Varredura de IP, engenharia social ... a lista é interminável, e estou me concentrando principalmente nos aspectos do protocolo DNS desta questão. No final das contas, tudo fica sob o mesmo guarda-chuva: alguém vai obter seu endereço IP .

Depende.

A resposta de Andrew B é imediata, quando você registra o subdomínio na zona DNS pública, que também hospeda os registros MX de sua empresa e o site público, por exemplo.

A maioria das empresas teria um servidor DNS interno, não disponível publicamente onde você registraria os nomes dos hosts internos ( secretos ).

O método recomendado é registrar um domínio dedicado para uso interno ou criar um subdomínio em seu domínio principal para uso interno.

Mas tecnicamente você também usa seu domínio principal criando uma exibição interna no seu domínio, onde, dependendo da origem do cliente DNS, uma versão alternativa da zona DNS seria visível.