S
EGURIDAD
DNS
-
V
ULNERABILIDADES,
AMENAZASY ATAQUES.
- M
ECANISMOS DE SEGURIDAD.
V
ULNERABILIDADES
,
AMENAZAS
Y
ATAQUES
El sistema de nombres de dominio (DNS, Domain Ñame System) se diseñó originalmente como un protocolo. Antes de considerar qué características de seguridad utilizar, deberá conocer las amenazas
comunes para la seguridad DNS y los niveles de seguridad DNS de su organización.
Amenazas para la seguridad DNS
Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS:
La ocupación es el proceso mediante el cual un intruso obtiene los datos de zona DNS para obtener los nombres de dominio DNS,
nombres de equipo y direcciones IP de recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos DNS
para obtener un diagrama u ocupación, de una red. Los nombres de equipo y dominio DNS suelen indicar la función o ubicación de un dominio o equipo para ayudar a los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. Un intruso se aprovecha del mismo principio DNS para aprender la función o ubicación de
V
ULNERABILIDADES
,
AMENAZAS
Y
ATAQUES
Un ataque por servicio denegado se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red
desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzará su nivel máximo y el servicio del Servidor DNS dejará de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarán de estar disponibles para los usuarios de la red.
La modificación de datos es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP válidas en
paquetes IP que ha creado él mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una dirección IP válida de la red. Esto se denomina comúnmente IP ficticia. Con una
dirección IP válida (una dirección IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque.
V
ULNERABILIDADES
,
AMENAZAS
Y
ATAQUES
La redirección
se produce cuando un intruso puede
redirigir consultas de nombres DNS a servidores que él
controle. Un método de redirección incluye el intento de
contaminar la caché DNS de un servidor DNS con datos
DNS erróneos que pueden dirigir consultas futuras a
servidores que controle el intruso. Por ejemplo, si se
realizó una consulta originalmente para
ejemplo.microsoft.com y la respuesta de referencia
proporcionó el registro de un nombre externo al dominio
microsoft.com, como usuariomalintencionado.com, el
servidor DNS utilizará los datos de la caché de
usuario-malintencionado.com para resolver la consulta de dicho
nombre. La redirección puede realizarse siempre que el
intruso disponga de acceso de escritura a datos DNS,
como ocurre, por ejemplo, con las actualizaciones
M
ECANISMO
DE
SEGURIDAD
DNS puede configurarse para que se reduzcan los problemas de
seguridad DNS comunes expuestos anteriormente La siguiente tabla muestra las cinco áreas principales que hay que atender al establecer la seguridad DNS.
Consejos de Seguridad DNS
Espacio de nombres DNS: Incorpore seguridad DNS a su diseño de espacio de nombres DNS.
Servicio del Servidor DNS: Revise la configuración de seguridad
predeterminada del servicio Servidor DNS y aplique las
características de seguridad de Active Directory cuando el servicio Servidor DNS se esté ejecutando en un controlador de dominio.
Zonas DNS Revise la configuración de seguridad predeterminada
de la zona DNS y aplique actualizaciones dinámicas seguras y
características de seguridad de Active Directory cuando la zona DNS se incluya en un controlador de dominio.
M
ECANISMO
DE
SEGURIDAD
Registros de recurso DNS:
Revisar la configuración
de seguridad predeterminada del registro de recursos
[RR, ResourceRecord| DNS y aplique las características
de seguridad de Active Directory cuando los registros de
recursos DNS estén incluidos en un controlador de
dominio.
Clientes
DNS
Controle las direcciones IP del servidor
DNS que utilizan los clientes DNS. Para obtener más
información vea Proteger los clientes DNS.
Tres niveles de seguridad DNS:
Los siguientes tres
niveles de seguridad DNS le ayudarán a comprender su
configuración DNS actual y le permitirán aumentar la
seguridad DNS de su organización.
M
ECANISMO
DE
SEGURIDAD
Seguridad de bajo nivel
La seguridad de bajo nivel es una implementación DNS estándar sin precauciones de seguridad configuradas. Implemente este nivel de seguridad DNS únicamente en
entornos de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no existan amenazas de conectividad externa.
La infraestructura DNS de su organización está completamente expuesta a Internet.
Todos los servidores DNS de su red realizan resolución DNS estándar.
Todos los servidores DNS están configurados con sugerencias de raíz dirigidas a los
servidores raíz para Internet.
Todos los servidores DNS permiten transferencias de zona a cualquier servidor.
Todos los servidores DNS están configurados para atender en todas sus direcciones IP.
La prevención de contaminación de la caché se encuentra deshabilitada en todos los servidores DNS.
M
ECANISMO
DE
SEGURIDAD
Seguridad de nivel medio
La seguridad de nivel medio utiliza las características de seguridad DNS
disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active Directory.
La infraestructura DNS de su organización tiene una exposición a Internet limitada.
Todos los servidores DNS están configurados para utilizar reenviadores
orientados a una lista específica de servidores DNS internos cuando no puedan resolver nombres de manera local.
Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en los registros de recursos de servidor de nombres (NS, Ñame Server| de sus zonas.
Los servidores DNS están configurados para atender en las direcciones IP especificadas.
La prevención de contaminación de la caché se encuentra habilitada en todos los servidores DNS.
M
ECANISMO
DE
SEGURIDAD
Seguridad de alto nivel
La seguridad de alto nivel utiliza la misma configuración que la de nivel medio y además utiliza las características de seguridad disponibles
cuando el servicio del Servidor DNS se está ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active Directory. Además, la seguridad de alto nivel elimina por completo la comunicación DNS con
Internet. Esta no es una configuración típica, aunque es la recomendada siempre que no sea necesaria la conectividad con Internet.
La infraestructura DNS de su organización no tiene comunicación con Internet a través de servidores DNS internos.
Su red utiliza una raíz y un espacio de nombres DNS internos, en la que toda la autoridad para zonas DNSes interna.
Los servidores DNS configurados con reenviadores sólo utilizan direcciones IP del servidor DNS interno.
Todos los servidores DNS limitan las transferencias de zona a direcciones IP especificadas.
Los servidores DNS están configurados para atender en las direcciones IP especificadas.