• No se han encontrado resultados

SEGURIDAD DNS - VULNERABILIDADES, AMENAZAS Y ATAQUES. - MECANISMOS DE SEGURIDAD. Luis Villalta Márquez

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "SEGURIDAD DNS - VULNERABILIDADES, AMENAZAS Y ATAQUES. - MECANISMOS DE SEGURIDAD. Luis Villalta Márquez"

Copied!
9
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 9 página )

Texto completo

(1)

S

EGURIDAD

DNS

-

V

ULNERABILIDADES

,

AMENAZASY ATAQUES

.

- M

ECANISMOS DE SEGURIDAD

.

(2)

V

ULNERABILIDADES

,

AMENAZAS

Y

ATAQUES

El sistema de nombres de dominio (DNS, Domain Ñame System) se diseñó originalmente como un protocolo. Antes de considerar qué características de seguridad utilizar, deberá conocer las amenazas

comunes para la seguridad DNS y los niveles de seguridad DNS de su organización.

Amenazas para la seguridad DNS

Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS:

 La ocupación es el proceso mediante el cual un intruso obtiene los datos de zona DNS para obtener los nombres de dominio DNS,

nombres de equipo y direcciones IP de recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos DNS

para obtener un diagrama u ocupación, de una red. Los nombres de equipo y dominio DNS suelen indicar la función o ubicación de un dominio o equipo para ayudar a los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. Un intruso se aprovecha del mismo principio DNS para aprender la función o ubicación de

(3)

V

ULNERABILIDADES

,

AMENAZAS

Y

ATAQUES

Un ataque por servicio denegado se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red

desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzará su nivel máximo y el servicio del Servidor DNS dejará de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarán de estar disponibles para los usuarios de la red.

 La modificación de datos es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP válidas en

paquetes IP que ha creado él mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una dirección IP válida de la red. Esto se denomina comúnmente IP ficticia. Con una

dirección IP válida (una dirección IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque.

(4)

V

ULNERABILIDADES

,

AMENAZAS

Y

ATAQUES

La redirección

se produce cuando un intruso puede

redirigir consultas de nombres DNS a servidores que él

controle. Un método de redirección incluye el intento de

contaminar la caché DNS de un servidor DNS con datos

DNS erróneos que pueden dirigir consultas futuras a

servidores que controle el intruso. Por ejemplo, si se

realizó una consulta originalmente para

ejemplo.microsoft.com y la respuesta de referencia

proporcionó el registro de un nombre externo al dominio

microsoft.com, como usuariomalintencionado.com, el

servidor DNS utilizará los datos de la caché de

usuario-malintencionado.com para resolver la consulta de dicho

nombre. La redirección puede realizarse siempre que el

intruso disponga de acceso de escritura a datos DNS,

como ocurre, por ejemplo, con las actualizaciones

(5)

M

ECANISMO

DE

SEGURIDAD

DNS puede configurarse para que se reduzcan los problemas de

seguridad DNS comunes expuestos anteriormente La siguiente tabla muestra las cinco áreas principales que hay que atender al establecer la seguridad DNS.

Consejos de Seguridad DNS

Espacio de nombres DNS: Incorpore seguridad DNS a su diseño de espacio de nombres DNS.

Servicio del Servidor DNS: Revise la configuración de seguridad

predeterminada del servicio Servidor DNS y aplique las

características de seguridad de Active Directory cuando el servicio Servidor DNS se esté ejecutando en un controlador de dominio.

Zonas DNS Revise la configuración de seguridad predeterminada

de la zona DNS y aplique actualizaciones dinámicas seguras y

características de seguridad de Active Directory cuando la zona DNS se incluya en un controlador de dominio.

(6)

M

ECANISMO

DE

SEGURIDAD

Registros de recurso DNS:

Revisar la configuración

de seguridad predeterminada del registro de recursos

[RR, ResourceRecord| DNS y aplique las características

de seguridad de Active Directory cuando los registros de

recursos DNS estén incluidos en un controlador de

dominio.

Clientes

DNS

Controle las direcciones IP del servidor

DNS que utilizan los clientes DNS. Para obtener más

información vea Proteger los clientes DNS.

Tres niveles de seguridad DNS:

Los siguientes tres

niveles de seguridad DNS le ayudarán a comprender su

configuración DNS actual y le permitirán aumentar la

seguridad DNS de su organización.

(7)

M

ECANISMO

DE

SEGURIDAD

Seguridad de bajo nivel

La seguridad de bajo nivel es una implementación DNS estándar sin precauciones de seguridad configuradas. Implemente este nivel de seguridad DNS únicamente en

entornos de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no existan amenazas de conectividad externa.

 La infraestructura DNS de su organización está completamente expuesta a Internet.

 Todos los servidores DNS de su red realizan resolución DNS estándar.

 Todos los servidores DNS están configurados con sugerencias de raíz dirigidas a los

servidores raíz para Internet.

 Todos los servidores DNS permiten transferencias de zona a cualquier servidor.

 Todos los servidores DNS están configurados para atender en todas sus direcciones IP.

 La prevención de contaminación de la caché se encuentra deshabilitada en todos los servidores DNS.

(8)

M

ECANISMO

DE

SEGURIDAD

Seguridad de nivel medio

La seguridad de nivel medio utiliza las características de seguridad DNS

disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active Directory.

 La infraestructura DNS de su organización tiene una exposición a Internet limitada.

 Todos los servidores DNS están configurados para utilizar reenviadores

orientados a una lista específica de servidores DNS internos cuando no puedan resolver nombres de manera local.

 Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en los registros de recursos de servidor de nombres (NS, Ñame Server| de sus zonas.

 Los servidores DNS están configurados para atender en las direcciones IP especificadas.

 La prevención de contaminación de la caché se encuentra habilitada en todos los servidores DNS.

(9)

M

ECANISMO

DE

SEGURIDAD

Seguridad de alto nivel

La seguridad de alto nivel utiliza la misma configuración que la de nivel medio y además utiliza las características de seguridad disponibles

cuando el servicio del Servidor DNS se está ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active Directory. Además, la seguridad de alto nivel elimina por completo la comunicación DNS con

Internet. Esta no es una configuración típica, aunque es la recomendada siempre que no sea necesaria la conectividad con Internet.

 La infraestructura DNS de su organización no tiene comunicación con Internet a través de servidores DNS internos.

 Su red utiliza una raíz y un espacio de nombres DNS internos, en la que toda la autoridad para zonas DNSes interna.

 Los servidores DNS configurados con reenviadores sólo utilizan direcciones IP del servidor DNS interno.

 Todos los servidores DNS limitan las transferencias de zona a direcciones IP especificadas.

 Los servidores DNS están configurados para atender en las direcciones IP especificadas.

Referencias

Descargar ahora ( PDF - 9 página - 57.41 KB )

Documento similar

Retos de la industria 4.0 desde la perspectiva del graduado social

El economista Schumpeter, conocido entre otros, por su idea de la destrucción creativa, ya introdujo la teoría socioeconómica de que cuando se produce un cambio sustancial en

El derecho a la desconexión digital y su especial incidencia en el ámbito de la relación laboral especial de los abogados

No obstante, y a nuestro juicio, en el presente supuesto el desafío es mayor; ello es así, en tanto que, como se ha señalado, el derecho al descanso se encuentra mediatizado en

La salud laboral en la era digital

Observamos, por ejemplo, que, a los riesgos organizacionales, que han tenido un impacto notable en los lugares de trabajo en las últimas décadas, no se les ha prestado la atención

La gobernanza de una transición justa a la industria 4.0 en dos momentos: El derecho de información de los trabajadores y la respuesta sindical

velocidad, amplitud y profundidad, e impacto de los sistemas 1. O sea, evolución a un ritmo exponencial como consecuencia del hecho de que ‹‹la nueva tecnología engendra, a su

Gestión con ERP SAP: mantenimiento 4.0

“identificación”, ha sido una parte fundamental para el desarrollo del preventivo en otros objetivos específicos planteados como el conocimiento de las instalaciones por parte

La industria 4.0 desde una óptica sindical

La brecha digital es, además, particularmente intensa en nuestra Región, tanto en términos de inversión pública y privada en I+D, como de capacitación en competencias digitales

La trasposición de la directiva 2019/1152: ¿Una oportunidad para intervenir en la precariedad laboral asociada a la ordenación jurídica del tiempo de trabajo?.

17  Resolución concerniente a la medición del subempleo y las situaciones de empleo inadecuado, adoptada por la decimosexta Conferencia Internacional de Estadísticos del

Industria 4.0 en la educación profesional en el Estado de Paraná: Análisis de los cursos de educación superior Senai-Brasil.

La Inteligencia Artificial - IA, también puede considerarse un requisito previo para la industria 4.0, ya que quiere que los sistemas tomen decisiones autónomas basadas en el