Názor k článku
Otevřený resolver od CZ.NIC vypíná ochranu proti DNS Rebinding a upravuje DoH od Miroslav Šilhavý - Neměl jsem na mysli bezpečnost, privátní adresy sice...

Neměl jsem na mysli bezpečnost, privátní adresy sice útočníkovi prozradí nějaké informace navíc, ale stejně na tom zabezpečení stát nemůže. Měl jsem na mysli hlavně provozní čistotu.

Z hlavy Vám vyjmenuju dva důvody, proč nemít privátní adresu v DNS:
1. když nebudete mít spojenou VPN, stejně se resolvne privátní adresa a služby budou čekat na timeouty, než zjistí, že je cíl nedostupný (málokterý router má pro vnitřní požadavky nastavený rychlý REJECT, obvykle se to prasí přes DROP)
2. když se potkáte se sítí se stejným privátním rozsahem, může se Vám stát i to, že se nějaká Vaše služba strefí do živé IP adresy a otevřeného portu - pak můžete zažít i divy.

Jediným řešením je mít v privátní síti vlastní autoritativní DNS. DNS bude odpovídat pouze ve chvíli, kdy je VPN navázaná a cílová síť dostupná. Okamžitě budete vědět, že VPN neběží správně, když se adresa ani neresolvuje.

S IPv6 potřeba VPN prakticky odpadá a potřeba veřejného DNS roste. Můžete se samozřejmě rozhodnout využívat neveřejné rozsahy IP adres a spojovat se jen přes VPN. Nebo můžete využívat veřejný blok, ale zakázat směrování na routeru. Prefix pak může být dostupný jen přes VPN.

Na IPv6 můžete v DNS použít split-horizon nastavení. Ve vnitřní síti můžete povolit resolvovat víc záznamů, než ve veřejné síti. Při vypnuté VPN adresu privatni-sluzba.mojedo­mena.cz vůbec neresovlnete, ale při spojení VPN už ano. Toto řešení je narozdíl od přebíjení záznamů poměrně v pohodě. Abyste nemusel hlídat, že nevytvoříte kolizi (omylem nebudete přebíjet stejný veřejný záznam vnitřním), řešívá se to pře další řád domény - např. xxx.home.moje­domena.cz, kteréžto ve veřejné části vůbec nebudou.

Správných řešení je tedy víc, ty priváty ve veřejném DNS jsou opravdu zoufalost (obvykle z lenosti nebo neznalosti).