17
ESCUELA MILITAR DE INGENIERÍA “MCAL. ANTONIO JOSÉ DE SUCRE” BOLIVIA SERVIDOR DNS (SISTEMA DE NOMBRE DE DOMINIO) CARRERA : INGENIERIA DE SISTEMAS DOCENTE : Ing. Patricia Lopez INTEGRANTE : MELISA TICONA MUJICA 7962326 cbba CURSO : 8VO SEMESTRE LA PAZ BOLIVIA

18 doc servidor DNS en un CPD.pdf

Tags:

Embed Size (px)

Citation preview

  • ESCUELA MILITAR DE INGENIERA MCAL. ANTONIO JOS DE SUCRE

    BOLIVIA

    SERVIDOR DNS (SISTEMA DE NOMBRE DE DOMINIO)

    CARRERA :

    INGENIERIA DE SISTEMAS

    DOCENTE :

    Ing. Patricia Lopez

    INTEGRANTE :

    MELISA TICONA MUJICA 7962326 cbba

    CURSO :

    8VO SEMESTRE

    LA PAZ BOLIVIA

  • Servidor DNS en un CPD

    1. Introduccin

    Un servidor DNS proporciona resolucin de nombres para redes basadas en TCP/IP.

    Es decir, hace posible que los usuarios de equipos cliente utilicen nombres en lugar

    de direcciones IP numricas para identificar hosts remotos. Un equipo cliente enva

    el nombre de un host remoto a un servidor DNS, que responde con la direccin IP

    correspondiente. El equipo cliente puede entonces enviar mensajes directamente a la

    direccin IP del host remoto. Si el servidor DNS no tiene ninguna entrada en su base

    de datos para el host remoto, puede responder al cliente con la direccin de un

    servidor DNS que pueda tener informacin acerca de ese host remoto, o bien puede

    consultar al otro servidor DNS. Este proceso puede tener lugar de forma recursiva

    hasta que el equipo cliente reciba las direcciones IP o hasta que se establezca que el

    nombre consultado no pertenece a ningn host del espacio de nombres DNS

    especificado.

    El servidor DNS del sistema operativo Windows Server 2008 cumple con el conjunto

    de solicitudes de comentarios (RFC) que definen y estandarizan el protocolo DNS.

    Puesto que el servicio Servidor DNS es compatible con RFC y puede usar formatos de

    registro de recursos y archivos de datos DNS estndar, puede funcionar correctamente

    con la mayora de las implementaciones del servidor DNS, como las que usa el software

    Berkeley Internet Name Domain (BIND).

    2. Servidor de DNS

    Domain Name System o DNS (en espaol: sistema de nombres de dominio)

    es un sistema de nomenclatura jerrquica para computadoras, servicios o

    cualquier recurso conectado a Internet o a una red privada. Este sistema asocia

    informacin variada con nombres de dominios asignado a cada uno de los

    participantes. Su funcin ms importante, es traducir (resolver) nombres

    inteligibles para las personas en identificadores binarios asociados con los

    equipos conectados a la red, esto con el propsito de poder localizar y

    direccionar estos equipos mundialmente.

    2.1 Tipos de servidores DNS

    Primarios o maestros: Guardan los datos de un espacio de nombres en sus ficheros

  • Secundarios o esclavos: Obtienen los datos de los servidores primarios a travs de una transferencia de zona.

    Locales o cach: Funcionan con el mismo software, pero no contienen la base de datos para la resolucin de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los servidores DNS correspondientes, almacenando la respuesta en su base de datos para agilizar la repeticin de estas peticiones en el futuro continuo o libre.

    2.2 Tipos de registros DNS

    A = Address (Direccin) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4.

    AAAA = Address (Direccin) Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6.

    CNAME = Canonical Name (Nombre Cannico) Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y servidor web) en un servidor con una sola direccin ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado cuando corres mltiples servidores http, con diferente nombres, sobre el mismo host. Se escribe primero el alias y luego el nombre real. Ej. Ejemplo1 IN CNAME ejemplo2

    NS = Name Server (Servidor de Nombres) Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres.

    MX (registro) = Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o ms servicios de correo.

  • PTR = Pointer (Indicador) Tambin conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en el archivo de configuracin del Dns reversiva.

    SOA = Start of authority (Autoridad de la zona) Proporciona informacin sobre el servidor DNS primario de la zona.

    HINFO = Host INFOrmation (Informacin del sistema informtico) Descripcin del host, permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio.

    TXT = TeXT - ( Informacin textual) Permite a los dominios identificarse de modos arbitrarios.

    LOC = LOCalizacin - Permite indicar las coordenadas del dominio. WKS - Generalizacin del registro MX para indicar los servicios que

    ofrece el dominio. Obsoleto en favor de SRV. SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio.

    RFC 2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio, protocolo, dominio completo, prioridad del servicio, peso, puerto y el equipo completo. Esta es la sintaxis correspondiente:

    Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo-Completo

    SPF = Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega con los datos de este registro.

    2.3 Centro de Proceso de Datos, CPD

    Se denomina centro de procesamiento de datos (CPD) a aquella ubicacin donde se concentran los recursos necesarios para el procesamiento de la informacin de una organizacin. Centro de datos por su equivalente en ingls data center.

    Dichos recursos consisten esencialmente en unas dependencias debidamente acondicionadas, computadoras y redes de comunicaciones.

    Un Centro de Proceso de Datos (CPD) es el conjunto de recursos fsicos, lgicos, y humanos necesarios para la organizacin, realizacin y control de las actividades informticas de una empresa.

    A la hora de realizar el diseo de un Centro de Proceso de Datos, la idea inicial que se contempla es la del diseo de una sala de comunicaciones de grandes dimensiones donde se van a ubicar potentes servidores, esta premisa inicial, pone de manifiesto uno de los primeros condicionantes del diseo de CPDs, el carcter crtico de los datos que se manejan, puesto que la mayora de las empresas dependen de la disponibilidad, seguridad y redundancia de la informacin que se almacena en sus servidores, la no disponibilidad de esta informacin supone elevados costes para cualquier compaa, especialmente en las que el departamento financiero tiene que funcionar ininterrumpidamente,

  • sin lentitud en el trfico de datos y donde sus transacciones deben estar totalmente libres de errores.

    Ejemplo

    Una de las empresas de ms xito en Internet ha sido Google. Inici como un buscador de la red y con su modelo de negocios (poniendo anuncios patrocinados en los resultados de las bsquedas), fue creciendo poco a poco. Hoy en da Google trabaja en muchos frentes y es una de las compaas ms interesantes en lo que se refiere a cmputo, a lo que hacen y a lo que desarrollan. Una empresa de este tamao debe tener miles de servidores cuntos habr en la red de Google? Algunos se aventuran a decir que son ms de un milln, pero el uso de energa de la empresa sugiere que probablemente estn corriendo unos 900,000 servidores. Google jams dice cuantos servidores tienen corriendo en sus centros de datos. Los nuevos estimados estn basados en la informacin que la compaa ha compartido con el profesor de la Universidad de Stanford, Jonathan Koomey, quien ha dado a conocer un reporte actualizado sobre el uso en los centros de datos de Google.

    3. Tipos de Riesgos para un servidor DNS

    3.1 Vulnerabilidades

    Cach Poisoning

    servidor DNS y hacerle creer que recibi informacin autntica y vlida

    El servidor luego cachea esa informacin y la utiliza para responder otras

    consultas hasta la duracin el TTL de los RRs cacheados

    Robo de informacion

    Estas vulnerabilidades se producen debido a una libre interpretacin a la hora

    de implementar este protocolo. DNS utiliza mensajes con un formato

  • determinado, que son interpretados por el mecanismo de resolucin de nombre

    a direccin IP. Un mensaje puede ser una bsqueda o una respuesta. Por la

    implementacin propia del protocolo, en determinadas circunstancias, una

    respuesta puede solicitar otra respuesta. Ello puede causar un flujo de

    mensajes capaces de generar un ataque de denegacin de servicio (DoS).

    Con la herramienta PorkBind podemos analizar vulnerabilidades que afectan

    a la seguridad de servidores DNS. Una vez descubierta la vulnerabilidad nos

    indica cmo solucionarla con su correspondiente link de CVSS v2.0 y OVAL.

    Entre las vulnerabilidades que chequea se encuentra la popular vulnerabilidad

    reportada por Dan Kaminsky. Las vulnerabilidades que detecta son:

    Envenenamiento de la cache.

    Denegacin de servicios va maxdname.

    Desbordamiento de buffer a travs de consulta inversa.

    Desbordamiento de buffer a travs de TSIG.

    Desbordamiento de buffer a travs de nslookup.

    Acceso a travs de variables de entorno.

    Desbordamiento de buffer a travs de nslookup.

    Denegacin de servicio a travs de dns_message_findtype.

    Modificacin del puntero nulo SIG RR.

    Denegacin de servicios.

    Denegacin de servicios va puntero nulo SIG RR.

    Ejecucin de cdigo arbitrario.

    Envenenamiento de la cache.

    Envenenamiento de la cache.

    Envenenamiento de la cache (de Dan Kaminsky).

    3.2 Amenazas

    stas son las formas comunes en que los intrusos pueden amenazar su

    infraestructura DNS:

    La representacin es el proceso mediante el cual un intruso obtiene los

    datos de zona DNS para obtener los nombres de dominio DNS, nombres

    de equipo y direcciones IP de recursos de red importantes. Un intruso

    suele empezar un ataque utilizando estos datos DNS para obtener un

    diagrama u ocupacin, de una red.

    Un ataque por servicio denegado se produce cuando un intruso

    intenta denegar la disponibilidad de los servicios de red desbordando

    uno o varios servidores DNS de la red con consultas recursivas. Cuando

    un servidor DNS se desborda con consultas, el uso de la CPU alcanzar

    su nivel mximo y el servicio del Servidor DNS dejar de estar

    disponible. Sin un servidor DNS completamente operativo en la red, los

    servicios de red que utilicen DNS dejarn de estar disponibles para los

    usuarios de la red.

  • La modificacin de datos es un intento del intruso (que ha ocupado

    una red mediante DNS) de utilizar direcciones IP vlidas en paquetes IP

    que ha creado l mismo, de manera que proporciona a estos paquetes

    la apariencia de proceder de una direccin IP vlida de la red. Esto se

    denomina comnmente IP ficticia. Con una direccin IP vlida (una

    direccin IP dentro del rango de direcciones IP de una subred), el intruso

    puede tener acceso a la red y destruir datos o realizar otro tipo de

    ataque.

    La redireccin se produce cuando un intruso puede redirigir consultas

    de nombres DNS a servidores que l controle. Un mtodo de redireccin

    incluye el intento de contaminar la cach DNS de un servidor DNS con

    datos DNS errneos que pueden dirigir consultas futuras a servidores

    que controle el intruso.

    Por ejemplo, si se realiz una consulta originalmente para

    ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de

    un nombre externo al dominio microsoft.com, como usuario-

    malintencionado.com, el servidor DNS

    utilizar los datos de la cach de usuario-malintencionado.com

    para resolver la consulta de dicho nombre. La redireccin puede

    realizarse siempre que el intruso disponga de acceso de escritura

    a datos DNS, como ocurre, por ejemplo, con las actualizaciones

    dinmicas no seguras.

  • 3.3 Ataques

    Algunos de los ataques ms comunes que se presentan en un servicio de

    DNS son los siguientes:

    Ataque de negacin del servicio (DOS): este ataques se presenta

    cuando el servidor DNS se ve inundado con un nmero muy grande

    de requerimientos reconocidos que pueden eventualmente forzar al

    procesador a ser usado ms all de sus capacidades recordemos que

    un procesador Pentium dos de 700 MHz puede soportar hasta 10,000

    consultas por segundo; de esta manera se podra evitar que el

    servidor de DNS siga prestando servicio de manera normal este tipo

    de ataque no requiere el una gran cantidad de conocimiento por parte

    del atacante este tipo es extremadamente efectivo, llegando en casos

    extremos a provocar el reinicio del servidor de red o deteniendo por

    completo la resolucin de nombres, la imposibilidad de resolver

    nombres por medio del servidor de DNS puede evitar el acceso de los

    usuarios a cualquier recurso de Internet, tal como, correo electrnico

    o pginas de hipertexto, en el caso de los sistemas Windows 2000 y

    2003 que funcionan con directorio activo evita la autenticacin de los

    usuarios y por tanto no permite el acceso a cualquier recurso de red.

    Footprinting: los intrusos pueden lograr una gran cantidad de

    informacin acerca de la infraestructura de la red interceptando los

    paquetes de DNS para de esta manera lograr identificar sus objetivos,

    capturando el trfico de DNS los intrusos pueden aprender acerca del

    sistema de nombres del dominio, los nombres de las mquinas, y el

    esquema de IP que se emplea en una red. Esta informacin de red

    revela la funcionalidad de ciertas mquinas presentes en la misma

    permitiendo al intruso decidir cules son los objetivos ms fructferos

    y otra forma de atacarlos.

    IPSoopfing: los intrusos pueden utilizar una IP legtima a menudo

    obtenida por medio del ataque anterior para ganar acceso a la red a

    sus servicios para enviar paquetes que pueden provocar daos dentro

    de la red a nombre de una mquina que no hace parte de la red,

    engaando al sistema identificndose con una IP de que no les

    corresponde a este proceso se le llama Spoofing. Esta manera

    pueden pasar diferentes filtros estn diseados para bloquear el

    trfico de IP desautorizadas dentro de la red. Una vez han logrado

    acceso a los computadores y servicios usando esta tcnica el

    atacante puede causar gran cantidad de daos pues dentro de la red

    se supone que la IP les pertenece a segmento local.

  • La redireccin se produce cuando un intruso puede redirigir

    consultas de nombres DNS a servidores que l controle. Un mtodo

    de redireccin incluye el intento de contaminar la cach DNS de un

    servidor DNS con datos DNS errneos que pueden dirigir consultas

    futuras a servidores que controle el intruso. Por ejemplo, si se realiz

    una consulta originalmente para ejemplo.microsoft.com y la respuesta

    de referencia proporcion el registro de un nombre externo al dominio

    microsoft.com, como usuariomalintencionado.com, el servidor DNS

    utilizar los datos de la cach de usuario-malintencionado.com para

    resolver la consulta de dicho nombre. La redireccin puede realizarse

    siempre que el intruso disponga de acceso de escritura a datos DNS,

    como ocurre, por ejemplo, con las actualizaciones dinmicas no

    seguras.

    4. Tres niveles de seguridad DNS

    En las secciones siguientes se describen los tres niveles de seguridad DNS.

    Seguridad de nivel bajo

    La seguridad de nivel bajo es una implementacin DNS estndar sin

    medidas de seguridad configuradas. Implemente este nivel de seguridad

    DNS nicamente en entornos de red en los que no preocupa la integridad de

    los datos DNS o bien en una red privada en la que no haya amenazas de

    conectividad externa. La seguridad DNS de nivel bajo tiene las siguientes

    caractersticas:

    La infraestructura DNS de la organizacin se expone completamente

    a Internet.

    Todos los servidores DNS de la red llevan a cabo la resolucin DNS

    estndar.

    Todos los servidores DNS se configuran con sugerencias de raz que

    sealan a los servidores raz de Internet.

    Todos los servidores DNS permiten las transferencias de zona a

    cualquier servidor.

    Todos los servidores DNS estn configurados para escuchar en todas

    sus direcciones IP.

    La funcin para evitar la contaminacin de la cach est deshabilitada

    en todos los servidores DNS.

  • La actualizacin dinmica se permite en todas las zonas DNS.

    El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53

    est abierto en el firewall de la red, tanto para direcciones de origen

    como de destino.

    Seguridad de nivel medio

    La seguridad de nivel medio usa las caractersticas de seguridad DNS

    disponibles sin ejecutar servidores DNS en controladores de dominio ni

    almacenar zonas DNS en los Servicios de dominio de Active Directory (AD

    DS). La seguridad DNS de nivel medio tiene las siguientes caractersticas:

    La infraestructura DNS de la organizacin tiene una exposicin

    limitada a Internet.

    Todos los servidores DNS estn configurados para usar reenviadores

    que apunten a una lista especfica de servidores DNS internos cuando

    no puedan resolver los nombres de forma local.

    Todos los servidores DNS limitan las transferencias de zona a

    servidores incluidos en los registros de recursos del servidor de

    nombres (NS) de sus respectivas zonas.

    Los servidores DNS se configuran para escuchar en direcciones IP

    especificadas.

    La funcin para evitar la contaminacin de la cach est habilitada en

    todos los servidores DNS.

    La actualizacin dinmica no segura no est permitida en ninguna

    zona DNS.

    Los servidores DNS internos se comunican con los servidores DNS

    externos mediante el firewall con una lista limitada de direcciones de

    origen y de destino permitidas.

    Los servidores DNS externos delante del firewall se configuran con

    sugerencias de raz que apuntan a los servidores raz de Internet.

    Todas las resoluciones de nombres de Internet se realizan con

    puertas de enlace y servidores proxy.

    Seguridad de nivel alto

    La seguridad de nivel alto usa la misma configuracin que la seguridad de

    nivel medio. Tambin usa las caractersticas de seguridad disponibles

  • cuando el servicio Servidor DNS se ejecuta en un controlador de dominio y

    las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel

    alto elimina completamente la comunicacin DNS con Internet. No es la

    configuracin tpica, pero se recomienda cuando no se requiere conectividad

    a Internet. La seguridad DNS de nivel alto tiene las siguientes

    caractersticas:

    En la infraestructura DNS de la organizacin, los servidores DNS

    internos no tienen comunicacin con Internet.

    La red usa un espacio de nombres y una raz DNS de carcter

    interno; toda la autoridad de las zonas DNS es interna.

    Los servidores DNS que se configuran con reenviadores slo usan

    direcciones IP de servidor DNS interno.

    Todos los servidores DNS limitan las transferencias de zona a las

    direcciones IP especificadas.

    Los servidores DNS se configuran para escuchar en direcciones IP

    especificadas.

    La funcin para evitar daos en la memoria cach est habilitada en

    todos los servidores DNS.

    Los servidores DNS internos se configuran con sugerencias de raz

    que sealan a los servidores DNS internos que hospedan la zona raz

    del espacio de nombres interno.

    Todos los servidores DNS se ejecutan en controladores de dominio.

    Se configura una lista de control de acceso discrecional (DACL) en el

    servicio Servidor DNS para permitir que slo usuarios especficos

    realicen tareas administrativas en el servidor DNS.

    Todas las zonas DNS se almacenan en AD DS. La lista DACL se

    configura para permitir que slo usuarios especficos puedan crear,

    eliminar o modificar zonas DNS.

    Las listas DACL se configuran en registros de recursos DNS para

    permitir que slo usuarios especficos puedan crear, eliminar o

    modificar datos DNS.

    La actualizacin dinmica segura se configura para las zonas DNS,

    excepto para las zonas raz y de nivel superior, que no permiten

    ningn tipo de actualizacin dinmica.

  • 4. Medidas que se puede implementar contra los ataques

    Para evitar los ataques anteriores existen numerosas tcnicas que para proteger servidor DNS y su espacio de nombres y lograr que su servicio se mantenga todo el tiempo

    funcionando de manera consistente. Con este como en la mayora de los problemas de

    seguridad, es un problema cultural, un ejemplo de esto es la regulacin y medidas para

    asegurar el servidor DNS y no dejarlo abierto cualquier tipo de acceso desde Internet e

    incluso permitiendo la transferencia de zonas actualizaciones dinmicas con cualquier otro

    computador esto deja servidor vulnerable a cualquier tipo de ataque descrito anteriormente.

    Por otra parte se puede cerrar todo el trfico de su red al mundo exterior denegando todo

    acceso Internet y creando nicamente un punto de acceso al sistema para el servidor , en el

    caso de red Windows 2000 o 2003, con el directorio activo limitando el acceso administrativo

    a los servidores de DNS evitando todas las comunicaciones de DNS. Estas medidas

    aseguran el servidor DNS para tomar la mayora de los trficos pero pueden comprometer la

    funcionalidad del mismo en la red impidiendo al usuario para el acceso de Internet o de

    resolver nombres que no pertenezcan al directorio activo o redes externas. Existen

    oportunidades en las que este tipo de medidas radicales pueden llegar a ser una garanta

    pero usted debe balancear los requerimientos de seguridad contra los requerimientos del

    funcionamiento de su red.

    Algunas de las medidas que se puede implementar dentro de su red para asegurar en parte

    o totalmente el servidor de DNS son las siguientes:

    Proveer servicio de DNS redundante: esto significa colocar ms de un solo

    servidor de DNS para la resolucin de nombres dentro de su red esto puede

    implicar una mayor cantidad de recursos inicialmente pero la larga es la solucin

    ms eficaz y ms escalable que se puede representar lo que en el caso de un

    servidor DNS caer, el servidor redundante o secundario a permitir la resolucin de

    nombres de manera automtica sin necesidad intervencin por parte del

    administrador.

    Doble configuracin del cliente: se recomiendan en cada uno de los clientes

    colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la

    de su proveedor de acceso Internet de esta manera est garantizando que su

    servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma

    remota a travs de el sistema de su proveedor de acceso a Internet.

    Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red

    interna: esta estrategia le permite controlar el acceso a los recursos de forma

    interna y el forma externa en la red perimetral comprendida entre los algunos

    tambin conocida como red desmilitarizada (DMZ), as se van a resolver todos los

    requerimientos externos en la zona externa es decir todos aquellos que sobrepasen

    el mbito de su red local bien sea por parte clientes internos o de clientes externos a

    la misma, mientras que el sistema de resolucin de nombres para su red de rea

    local va estar siendo respaldado por un servidor interno que eleva permitir mantener

    actualizado y seguro el esquema direcciones IP's sin tener consultas recursos

    externos.

    Control de interfases: Otra forma de limitar el acceso a su servidor de DNS es

    limitando el acceso a consultas por medio de el control de las interfaces de red, es

    decir, permitiendo la resolucin de DNS slo por una de las interfaces de su servidor

    de sta manera la interfase que de la red interna hacerla que a permitir la resolucin

    de nombres de dicha red mientras que la interfase externa no a permitir resolucin

    de nombres de tipo DNS.

  • Uso de directorio activo: Aunque es posible el footprint forma de la captura de

    trfico de resolucin, una un mtodo mucho ms eficiente para el atacante es

    interceptando el trfico de replicacin. Por medio de la captura de paquetes de

    trfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas

    zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el trfico

    replicacin de la zona es instalar todos sus servidores de DNS en un controlador

    dominio en familias Windows 2000 y 2003 y guardando toda informacin de sus

    zonas en el directorio activo. El directorio activo entonces se convierten responsable

    parada realizar todo el trfico replicacin en su zona. Pero el trfico al directorio

    activo se realiza por medio autenticacin y mutua que le permita de evitar la

    suplantacin por parte de un intruso y adicionalmente todo el trfico de directorio

    activo se enva encriptado lo que previene que cualquier persona pueda capturar

    paquetes leerlos o manipular los datos; finalmente el acceso al controlador dominio

    est restringido por las polticas que usted efectivamente ha implantado para

    proteger toda informacin dentro de su directorio.

    Limitar trafico por IP : Una forma de proteger las transferencia de zonas es

    especificando la IP de los servidores de DNS que participan en la transferencia de

    zonas esta manera usted puede limitar a dichos servidores el acceso replicacin y

    un intruso va tener una labor mucho ms difcil para lograr el acceso replicacin.

    Encriptar el trafico DNS: Aunque la tcnica que fue prevenir el acceso

    transferencia de zona efectivamente no protegen los paquetes que estn viajando

    hacia los servidores un intruso con un capturador de paquetes de sistemas de

    Windows pueda capturar los datos de transferencia de zona leer los y posiblemente

    modificarlos con herramientas ms avanzadas se puede configurar su servidor DNS

    para Encriptar todo el trfico utilizando protocolo de IPSec o la implementacin de

    VPN de su sistema operativo.

    Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en

    su servidor DNS consiste en prevenir la corrupcin del cach sta se presenta por la

    manipulacin parte de los intrusos de dicha informacin para su beneficio propio; en

    Windows 2003 el servidor incluye la caracterstica de prevenir la corrupcin de

    cache se activa as: o dentro del cuadro de propiedades del servidor DNS haga clic en avanzado

    o

    luego seleccione asegurar cach contra corrupcin es un cuadro de Checkbox

    Dentro de la opciones del servidor, esta caracterstica puede prevenir que el

    servidor haga cach de recursos que no son relativos al informacin que ha recibido

    por mensajes de respuesta.

    Autorizar las actualizaciones dinmicas de DHCP: Asegura las actualizaciones

    dinmicas es otra labor bastante importante dentro del sistema, esas

    actualizaciones se realiza a travs del sistema DHCP, el cual entregar direcciones

    de configuracin inicial a los clientes para prevenir las actualizaciones dinmicas no

    autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio

    activo esta labor es relativamente simple de realizar por medio de clic derecho slo

    le el nombre del servidor en

  • la consola del DHCP y seleccionar autorizar.

    La normativa aplicada en servidores de DNS

    Bsandonos en la ISO 27001 como marco de normas y los requerimientos de

    las PCI-DSS como marco de aplicacion terminamos con 12 requerimientos de

    seguridad que debemos cumplir para tener una politica de seguridad

    garantizada en nuestro servidor.

    Estos requerimientos a nivel general son:

    R1: Instalar y mantener una configuracion de firewall para mantener

    los datos.

    R2: No usar las contraseas y otros parametros de seguridad incluidas

    por defecto por los proveedores del sistema.

    R3: Proteger los datos almacenados.

    R4: Encriptar la transmisin de datos que circulan por redes pblicas

    o abiertas.

    R5: Programa de administracion de vulnerabilidades.

    R6: Desarrollar y mantener apliaciones y sistemas seguros.

  • R7: Restringir el acceso a los datos solo a las personas que necesitan

    saber.

    R8: Asignar una unica identificacion a cada persona con acceso al

    computador

    R9: Restringir el acceso fsico a los datos.

    R10: Realizar un seguimiento y monitoreo de todo el acceso a los

    recursos de red y a los datos del sistema.

    R11: Evaluar regularmente procesos y sistemas de seguridad.

    R12: Mantener una politica que aborde la seguridad de la informacion

    para los empleados y contratistas.

    ISO 3166-1 alfa-2, sistema de cdigos de dos letras. Tiene muchas aplicaciones, la ms

    notoria en los dominios de nivel superior geogrfico de Internet. Normalizaciones derivadas

    de este ltimo cdigo son:

    ISO 3166-2, cdigos referidos a subdivisiones tales como estados y provincias. ISO 3166-3, sustitutos de los cdigos del sistema alpha-2 que han quedado

    obsoletos.

  • ISO 4217, cdigos para unidades monetarias.

    Ejemplos de nombres de dominio de nivel superior

    .ar, para servicios de Argentina .asia, la regin de Asia .biz prevista para ser usado por negocios. .bo, para servicios de Bolivia .cat, para pginas relacionadas con la cultura e idioma cataln. .cl, para servicios de Chile .co, para servicios de Colombia .cn, para servicios de China .com, son los dominios ms extendidos en el mundo. Sirven para cualquier tipo de

    pgina web, temtica. .cr, para servicios de Costa Rica .cu, para servicios de Cuba .do, para servicios de Repblica Dominicana .ec, para servicios de Ecuador .edu, para servicios de Educacin .es, para servicios de Espaa .eu, para pases de Europa .fm, para pginas del pas Estados Federados de Micronesia, pero usado tambin

    para estaciones de radio de frecuencia modulada .fr, para servicios de Francia .gal, para pginas relacionadas con la cultura y lengua (Gallego) de la comunidad

    autnoma de Galicia, Espaa. .gov y .gob, para gobierno y entidades pblicas

    Lista de configuracin e instalacin de servidores web y correo

    Norma Boliviana NB/ISO/IEC 18028-4

    Servidor Web Servidor de correo

    1 Instalacin segura del servidor web Reabastecer la aplicacin del servidor de correo

    2 Instalar el software del servidor en un host dedicado

    Instalar el software del servidor en un host dedicado

    3 Instara los servicios mnimos de internet requeridos

    Instalara los servicios mnimos de internet requeridos

    4 Aplicar parches o actualizaciones para corregir vulnerabilidades conocidas

    Aplicar cualquier parches o actualizaciones para corregir vulnerabilidades conocidas

    5

    Crear un disco fsico o particin lgica dedicado(Separado del S.O. y de la aplicacin del servidor)para el contenido web

    Reservar o desactivar todos los servicios instalados para la aplicacin del servidor de correo que no se requiere

    6

    Remover o desactivar todos los servicios instalados para la aplicacin del servidor de correo que no se requiere

    Reservar toda documentacin del vendedor desde el servidor

  • 7 Remover toda documentos scripts y cdigos ejecutables

    Aplicar plantillas de seguridad adeccuadas o escrituras endurecida al servidor

    8 Eliminar toda la documentacin del vendedor desde el servidor

    reconfigurar el banner del servicio SMTP, POP e IMAP

    9 Aplicar plantillas de seguridad o scripts de dureza adecuados para el servidor

    Desactivar comandos de correo de correo peligrosos e innecesarios

    10 reconfigurar el banner del servicio HTTP Configurar el sistema operativo y los controles de acceso al servidor de correo

    11

    Configurar controles de acceso del sistema operativo de host de servicio y los controles de acceso al servidor de correo

    Limitar el acceso de la aplicacin servidor de correo a un subconjunto de recursos computacionales

    6. Bibliografa

    https://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_d

    e_Normalizaci%C3%B3n

    http://technet.microsoft.com/es-

    es/library/cc753635%28v=ws.10%29.aspx

    http://es.wikipedia.org/wiki/IP

    http://es.wikipedia.org/wiki/SERVIDOR-DNS

    Norma Bolivia IBNORCA


Servidor DNS Dhcp Web

Servidor DNS Dhcp Web

Documents
IMSI - U02 - Servidor DNS - Presentacion

IMSI - U02 - Servidor DNS - Presentacion

Documents
Configuracion Del Servidor DNS

Configuracion Del Servidor DNS

Documents
Configuración Servidor DNS

Configuración Servidor DNS

Documents
Servidor dns en openbsd

Servidor dns en openbsd

Documents
Servidor Lamp DNS

Servidor Lamp DNS

Documents
Servidor DNS en Fedora9

Servidor DNS en Fedora9

Documents
Servidor web y dns

Servidor web y dns

Documents
Servidor DNS- BIND

Servidor DNS- BIND

Internet
ConfiguracióN Del Servidor Dns

ConfiguracióN Del Servidor Dns

Education
CONFIGURACIÓN SERVIDOR DNS ubuntu

CONFIGURACIÓN SERVIDOR DNS ubuntu

Documents
Servidor DNS en Fedora9 (1)

Servidor DNS en Fedora9 (1)

Documents
Montaje Servidor Dns W2003

Montaje Servidor Dns W2003

Technology
Instalación del servidor DNS bind

Instalación del servidor DNS bind

Documents
Servidor DNS Ubuntu

Servidor DNS Ubuntu

Technology
Manual Servidor DNS Con Simple DNS Plus

Manual Servidor DNS Con Simple DNS Plus

Documents
Cómo Configurar Un Servidor DNS

Cómo Configurar Un Servidor DNS

Documents
Servidor dns rhel 6.2

Servidor dns rhel 6.2

Education
Instalación Servidor DNS

Instalación Servidor DNS

Documents
Apostila Servidor DNS - Primário

Apostila Servidor DNS - Primário

Documents
DNS cliente servidor

DNS cliente servidor

Education
Instalação e Configuração - Servidor DNS

Instalação e Configuração - Servidor DNS

Software
Servidor DHCP y servidor DNS

Servidor DHCP y servidor DNS

Documents
Configurando Servidor DNS

Configurando Servidor DNS

Documents
Servidor DNS Configuracion

Servidor DNS Configuracion

Documents
Servidor DHCP y Servidor DNS Introducción

Servidor DHCP y Servidor DNS Introducción

Documents
Servidor DNS Windows

Servidor DNS Windows

Technology
Manual Servidor DNS-Mac

Manual Servidor DNS-Mac

Documents
Servidor dns server 2003

Servidor dns server 2003

Software
DNS over* - PTNOGDNS Cache..pt ibanco.pt Servidores DNS Autoritativos ? 23.72.54.92 ISP / local 23.72.54.92 ? Servidor web Servidor DNS Resolver Resolução DNS 1 …

DNS over* - PTNOGDNS Cache..pt ibanco.pt Servidores DNS Autoritativos ? 23.72.54.92 ISP / local 23.72.54.92 ? Servidor web Servidor DNS Resolver Resolução DNS 1 …

Documents