Seguridad DNS - WordPress.com
Download
Report
Transcript Seguridad DNS - WordPress.com
Seguridad DNS.
Javier Rodríguez Granados
Vulnerabilidades, amenazas y
ataques.
El sistema de nombres de dominio (DNS, Domain Name
System) se diseñó originalmente como un protocolo.
Antes de considerar qué características de seguridad
utilizar, deberá conocer las amenazas comunes para la
seguridad DNS y los niveles de seguridad DNS de su
organización.
Amenazas para la seguridad DNS
Éstas son las formas comunes en que los intrusos pueden
amenazar su infraestructura DNS:
La ocupación es el proceso mediante el cual un intruso obtiene
los datos de zona DNS para obtener los nombres de dominio
DNS, nombres de equipo y direcciones IP de recursos de red
importantes. Un intruso suele empezar un ataque utilizando estos
datos DNS para obtener un diagrama u ocupación, de una red.
Los nombres de equipo y dominio DNS suelen indicar la función o
ubicación de un dominio o equipo para ayudar a los usuarios a
recordar e identificar los dominios y equipos con mayor facilidad.
Un intruso se aprovecha del mismo principio DNS para aprender
la función o ubicación de dominios y equipos en la red.
Amenazas para la seguridad DNS
Un ataque por servicio denegado se produce
cuando un intruso intenta denegar la disponibilidad
de los servicios de red desbordando uno o varios
servidores DNS de la red con consultas recursivas.
Cuando un servidor DNS se desborda con
consultas, el uso de la CPU alcanzará su nivel
máximo y el servicio del Servidor DNS dejará de
estar disponible. Sin un servidor DNS
completamente operativo en la red, los servicios de
red que utilicen DNS dejarán de estar disponibles
para los usuarios de la red.
Amenazas para la seguridad DNS
La modificación de datos es un intento del intruso
(que ha ocupado una red mediante DNS) de utilizar
direcciones IP válidas en paquetes IP que ha
creado él mismo, de manera que proporciona a
estos paquetes la apariencia de proceder de una
dirección IP válida de la red. Esto se denomina
comúnmente IP ficticia. Con una dirección IP válida
(una dirección IP dentro del rango de direcciones IP
de una subred), el intruso puede tener acceso a la
red y destruir datos o realizar otro tipo de ataque.
Amenazas para la seguridad DNS
La redirección se produce cuando un intruso puede redirigir
consultas de nombres DNS a servidores que él controle. Un
método de redirección incluye el intento de contaminar la caché
DNS de un servidor DNScon datos DNS erróneos que pueden
dirigir consultas futuras a servidores que controle el intruso.
Por ejemplo, si se realizó una consulta originalmente para
ejemplo.microsoft.com y la respuesta de referencia proporcionó
el registro de un nombre externo al dominio microsoft.com, como
usuariomalintencionado.com, el servidor DNS utilizará los datos
de la caché de usuario-malintencionado.com para resolver la
consulta de dicho nombre. La redirección puede realizarse
siempre que el intruso disponga de acceso de escritura a datos
DNS, como ocurre, por ejemplo, con las actualizaciones
dinámicas no seguras.
Mecanismos de seguridad.
DNS puede configurarse para que se reduzcan los problemas de
seguridad DNS comunes expuestos anteriormente La siguiente tabla
muestra las cinco áreas principales que hay que atender al
establecer la seguridad DNS.
Consejos de Seguridad DNS
Espacio de nombres DNS: Incorpore seguridad DNS a su diseño
de espacio de nombres DNS.
Servicio del Servidor DNS: Revise la configuración de seguridad
predeterminada del servicio Servidor DNS y aplique las
características de seguridad de Active Directory cuando el servicio
Servidor DNS se esté ejecutando en un controlador de dominio.
Mecanismos de seguridad.
Zonas DNS Revise la configuración de seguridad
predeterminada de la zona DNS y aplique actualizaciones
dinámicas seguras y características de seguridad de Active
Directory cuando la zona DNS se incluya en un controlador de
dominio.
Registros de recurso DNS: Revisar la configuración de
seguridad predeterminada del registro de recursos (RR,
ResourceRecord) DNS y aplique las características de seguridad
de Active Directory cuando los registros de recursos DNS estén
incluidos en un controlador de dominio.
Mecanismos de seguridad.
Clientes DNS Controle las direcciones IP del
servidor DNS que utilizan los clientes DNS. Para
obtener más información vea Proteger los clientes
DNS.
Tres niveles de seguridad DNS: Los siguientes
tres niveles de seguridad DNS le ayudarán a
comprender su configuración DNS actual y le
permitirán aumentar la seguridad DNS de su
organización.
Seguridad de bajo nivel
La seguridad de bajo nivel es una implementación DNS
estándar sin precauciones de seguridad configuradas.
Implemente este nivel de seguridad DNS únicamente en
entornos de red donde no preocupe la integridad de sus
datos DNS o en una red privada donde no existan
amenazas de conectividad externa.
La infraestructura DNS de su organización está
completamente expuesta a Internet.
Todos los servidores DNS de su red realizan resolución
DNS estándar.
Todos los servidores DNS están configurados con
sugerencias de raíz dirigidas a los servidores raíz para
Internet.
Seguridad de bajo nivel
Todos los servidores DNS permiten transferencias de zona a
cualquier servidor.
Todos los servidores DNS están configurados para atender en
todas sus direcciones IP.
La prevención de contaminación de la caché se encuentra
deshabilitada en todos los servidores DNS.
La actualización dinámica se permite en todas las zonas DNS.
El puerto 53 del Protocolo de datagramas de usuario (UDP, User
Datagram Protocol) y el Protocolo de control de
transmisión/Protocolo Internet (TCP/IP, Transmission Control
Protocol/Internet Protocol) está abierto en el servidor de
seguridad de su red tanto para direcciones de origen como de
destino.
Seguridad de nivel medio
La seguridad de nivel medio utiliza las características de
seguridad DNS disponibles sin ejecutar servidores DNS
en controladores de dominio ni almacenar zonas DNS
en Active Directory.
La infraestructura DNS de su organización tiene una
exposición a Internet limitada.
Todos los servidores DNS están configurados para
utilizar reenviadores orientados a una lista específica de
servidores DNS internos cuando no puedan resolver
nombres de manera local.
Seguridad de nivel medio
Todos los servidores DNS limitan las transferencias de
zona a los servidores indicados en los registros de
recursos de servidor de nombres (NS, Name Server) de
sus zonas.
Los servidores DNS están configurados para atender en
las direcciones IP especificadas.
La prevención de contaminación de la caché se
encuentra habilitada en todos los servidores DNS.
Seguridad de nivel medio
La actualización dinámica no segura no se permite en ninguna
zona DNS.
Los servidores DNS internos se comunican con servidores DNS
externos a través del servidor de seguridad mediante una lista
limitada de las direcciones de origen y destino permitidas.
Los servidores DNS externos que hay delante de su servidor de
seguridad están configurados con sugerencias de raíz dirigidas a
los servidores raíz para Internet.
Toda la resolución de nombres de Internet se realiza utilizando
servidores proxy y puertas de enlace.
Seguridad de alto nivel
La seguridad de alto nivel utiliza la misma configuración
que la de nivel medio y además utiliza las características
de seguridad disponibles cuando el servicio del Servidor
DNS se está ejecutando en un controlador de dominio y
las zonas DNS se almacenan en Active Directory.
Además, la seguridad de alto nivel elimina por completo
la comunicación DNS con Internet. Esta no es una
configuración típica, aunque es la recomendada siempre
que no sea necesaria la conectividad con Internet.
Seguridad de alto nivel
La infraestructura DNS de su organización no tiene
comunicación con Internet a través de servidores DNS internos.
Su red utiliza una raíz y un espacio de nombres DNS internos,
en la que toda la autoridad para zonas DNSes interna.
Los servidores DNS configurados con reenviadores sólo utilizan
direcciones IP del servidor DNS interno.
Todos los servidores DNS limitan las transferencias de zona a
direcciones IP especificadas.
Seguridad de alto nivel
Los servidores DNS están configurados para atender en las
direcciones IP especificadas.
La prevención de contaminación de la caché se encuentra
habilitada en todos los servidores DNS.
Los servidores DNS internos están configurados con
sugerencias de raíz dirigidas a los servidores DNS internos que
alojan la zona raíz para su espacio de nombres interno.
Todos los servidores DNS se ejecutan en controladores de
dominio. En el servicio Servidor DNS se configura una lista de
control de acceso discrecional (DACL, Discretionary Access
Control List) para que sólo permita realizar tareas administrativas
en el servidor DNS a usuarios específicos.
Seguridad de alto nivel
Todas las zonas DNS se almacenan en Active Directory. La
DACL está configurada para que sólo permita crear, eliminar o
modificar zonas DNS a usuarios específicos.
Las DACL están configuradas en los registros de recursos DNS
para que sólo permitan crear, eliminar o modificar datos DNS a
usuarios específicos.
La actualización dinámica segura se configura para las zonas
DNS, excepto en las zonas raíz y de nivel superior, que no
permiten las actualizaciones dinámicas.