Posts Tagged 'DNS'

Planeando la seguridad de un servidor DNS (servicio de nombres de dominio)

Published sábado 6 octubre, 2007 General Comment
Etiquetas: ,

Aunque las funciones que implementa un servidor DNS son intrínsecamente benignas, la posibilidad de que sea comprometido representa un alto riesgo a la seguridad de red. Parte del proceso de diseño para una resolución de nombres completa es mantener su servicio DNS y la información que él contiene a salvo de intrusos y potenciales atacantes en la red.

 

El servicio DNS es una parte esencial del funcionamiento de una red ya sea de tipo Internet o red administrativa empresarial como una Lan; existen por tanto dos estrategias básicas para el aseguramiento de un servicio de este tipo: evitar la interrupción del servicio y evitar el compromiso de los datos.

Como partes estrategias resolución de nombres tienen que evaluar los riesgos que su servidor DNS está corriendo las posibles consecuencias de ellos en el caso de presentarse y tomar las acciones preventivas para proteger el funcionamiento del servidor sin comprometer la funcionalidad del mismo.

Algunos de los ataques más comunes que se presentan en un servicio de DNS son los siguientes:

  •  

    Ataque de negación del servicio (DOS): este ataques se presenta cuando el servidor DNS se ve inundado con un número muy grande de requerimientos reconocidos que pueden eventualmente forzar al procesador a ser usado más allá de sus capacidades recordemos que un procesador Pentium dos de 700 MHz puede soportar hasta 10,000 consultas por segundo; de esta manera se podría evitar que el servidor de DNS siga prestando servicio de manera normal este tipo de ataque no requiere el una gran cantidad de conocimiento por parte del atacante este tipo es extremadamente efectivo, llegando en casos extremos a provocar el reinicio del servidor de red o deteniendo por completo la resolución de nombres, la imposibilidad de resolver nombres por medio del servidor de DNS puede evitar el acceso de los usuarios a cualquier recurso de Internet, tal como, correo electrónico o páginas de hipertexto, en el caso de los sistemas Windows 2000 y 2003 que funcionan con directorio activo evita la autenticación de los usuarios y por tanto no permite el acceso a cualquier recurso de red.

  •  

    Footprinting: los intrusos pueden lograr una gran cantidad de información acerca de la infraestructura de la red interceptando los paquetes de DNS para de esta manera lograr identificar sus objetivos, capturando el tráfico de DNS los intrusos pueden aprender acerca de el sistema de nombres del dominio, los nombres de las máquinas, y el esquema de IP que se emplea en una red. Esta información de red revela la funcionalidad de ciertas máquinas presentes en la misma permitiendo al intruso decidir cuáles son los objetivos más fructíferos y otra forma de atacarlos.

  •  

    IPSoopfing: los intrusos pueden utilizar una IP legítima a menudo obtenida por medio del ataque anterior para ganar acceso a la red a sus servicios para enviar paquetes que pueden provocar daños dentro de la red a nombre de una máquina que no hace parte de la red, engañando al sistema identificándose con una IP de que no les corresponde a este proceso se le llama Spoofing. Esta manera pueden pasar diferentes filtros están diseñados para bloquear el tráfico de IP desautorizadas dentro de la red. Una vez han logrado acceso a los computadores y servicios usando esta técnica el atacante puede causar gran cantidad de daños pues dentro de la red se supone que las IP les pertenecen al segmento local.

  •  

    Redireccionamiento en este tipo de ataque de un intruso causa que el servidor de DNS redireccione todas las consultas de resolución de nombres aún servidor incorrecto que esta bajo el control del atacante el atacante de lograr esta técnica mediante la corrupción o envenenamiento del caché del servidor utilizando actualizaciones dinámicas.

 

 

Para evitar los ataques anteriores existen numerosas técnicas que para proteger servidor DNS y su espacio de nombres y lograr que su servicio se mantenga todo el tiempo funcionando de manera consistente. Con este como en la mayoría de los problemas de seguridad, es un problema cultural, un ejemplo de esto es la regulación y medidas para asegurar el servidor DNS y no dejarlo abierto cualquier tipo de acceso desde Internet e incluso permitiendo la transferencia de zonas actualizaciones dinámicas con cualquier otro computador esto deja servidor vulnerable a cualquier tipo de ataque descrito anteriormente.

Por otra parte se puede cerrar todo el tráfico de su red al mundo exterior denegando todo acceso Internet y creando únicamente un punto de acceso al sistema para el servidor , en el caso de red Windows 2000 o 2003, con el directorio activo limitando el acceso administrativo a los servidores de DNS evitando todas las comunicaciones de DNS. Estas medidas aseguran el servidor DNS para tomar la mayoría de los tráficos pero pueden comprometer la funcionalidad del mismo en la red impidiendo al usuario para el acceso de Internet o de resolver nombres que no pertenezcan al directorio activo o redes externas. Existen oportunidades en las que este tipo de medidas radicales pueden llegar a ser una garantía pero usted debe balancear los requerimientos de seguridad contra los requerimientos del funcionamiento de su red.

Algunas de las medidas que se puede implementar dentro de su red para asegurar en parte o totalmente el servidor de DNS son las siguientes:

  •  

    Proveer servicio de DNS redundante: esto significa colocar más de un solo servidor de DNS para la resolución de nombres dentro de su red esto puede implicar una mayor cantidad de recursos inicialmente pero la larga es la solución más eficaz y más escalable que se puede representar lo que en el caso de un servidor DNS caer, el servidor redundante o secundario a permitir la resolución de nombres de manera automática sin necesidad intervención por parte del administrador.

  •  

    Doble configuración del cliente: se recomiendan en cada uno de los clientes colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la de su proveedor de acceso Internet de esta manera está garantizando que su servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma remota a través de el sistema de su proveedor de acceso a Internet.

  •  

    Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red interna: esta estrategia le permite controlar el acceso a los recursos de forma interna y el forma externa en la red perimetral comprendida entre los algunos también conocida como red desmilitarizada (DMZ), así se van a resolver todos los requerimientos externos en la zona externa es decir todos aquellos que sobrepasen el ámbito de su red local bien sea por parte clientes internos o de clientes externos a la misma, mientras que el sistema de resolución de nombres para su red de área local va estar siendo respaldado por un servidor interno que eleva permitir mantener actualizado y seguro el esquema direcciones IP’s sin tener consultas recursos externos.

  •  

    Control de interfases: Otra forma de limitar el acceso a su servidor de DNS es limitando el acceso a consultas por medio de el control de las interfaces de red, es decir, permitiendo la resolución de DNS sólo por una de las interfaces de su servidor de ésta manera la interfase que de la red interna hacerla que a permitir la resolución de nombres de dicha red mientras que la interfase externa no a permitir resolución de nombres de tipo DNS.

  •  

    Uso de directorio activo: Aunque es posible el footprint forma de la captura de tráfico de resolución, una un método mucho más eficiente para el atacante es interceptando el tráfico de replicación. Por medio de la captura de paquetes de tráfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el tráfico replicación de la zona es instalar todos sus servidores de DNS en un controlador dominio en familias Windows 2000 y 2003 y guardando toda información de sus zonas en el directorio activo. El directorio activo entonces se convierten responsable parada realizar todo el tráfico replicación en su zona. Pero el tráfico al directorio activo se realiza por medio autenticación y mutua que le permita de evitar la suplantación por parte de un intruso y adicionalmente todo el tráfico de directorio activo se envía encriptado lo que previene que cualquier persona pueda capturar paquetes leerlos o manipular los datos; finalmente el acceso al controlador dominio está restringido por las políticas que usted efectivamente ha implantado para proteger toda información dentro de su directorio.

  •  

    Limitar trafico por IP : Una forma de proteger las transferencia de zonas es especificando la IP de los servidores de DNS que participan en la transferencia de zonas esta manera usted puede limitar a dichos servidores el acceso replicación y un intruso va tener una labor mucho más difícil para lograr el acceso replicación.

  •  

    Encriptar el trafico DNS: Aunque la técnica que fue prevenir el acceso transferencia de zona efectivamente no protegen los paquetes que están viajando hacia los servidores un intruso con un capturador de paquetes de sistemas de Windows pueda capturar los datos de transferencia de zona leer los y posiblemente modificarlos con herramientas más avanzadas se puede configurar su servidor DNS para Encriptar todo el tráfico utilizando protocolo de IPSec o la implementación de VPN de su sistema operativo.

  •  

    Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en su servidor DNS consiste en prevenir la corrupción del caché ésta se presenta por la manipulación parte de los intrusos de dicha información para su beneficio propio; en Windows 2003 el servidor incluye la característica de prevenir la corrupción de cache se activa así:

    •  

      dentro del cuadro de propiedades del servidor DNS haga clic en avanzado

    luego seleccione asegurar caché contra corrupción es un cuadro de Checkbox

    Dentro de la opciones del servidor, esta característica puede prevenir que el servidor haga caché de recursos que no son relativos al información que ha recibido por mensajes de respuesta.

  •  

    Autorizar las actualizaciones dinámicas de DHCP: Asegura las actualizaciones dinámicas es otra labor bastante importante dentro del sistema, esas actualizaciones se realiza a través del sistema DHCP, el cual entregará direcciones de configuración inicial a los clientes para prevenir las actualizaciones dinámicas no autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio activo esta labor es relativamente simple de realizar por medio de clic derecho sólo le el nombre del servidor en la consola del DHCP y seleccionar autorizar.

Espero que estas técnicas hayan sido de utilidad para proteger su servidor de DNS contra posibles ataques de intruso o persona no deseables en su red, recuerde que cualquier tipo de actualización o cambio que se haga dinámicamente es recomendaba que se asegurada y auténtica en todos los casos sin embargo no siempre es posibles dicha estrategia, por lo tanto sea lo más cauto con la configuración de su servidor DNS dentro de su red.

La configuración es un proceso relativamente simple pero no por ello de descuidarse.

Créditos Creangel

Páginas

Archivos