Especialmente en el caso de los servidores DNS con acceso a Internet, es importante garantizar la protección de la infraestructura DNS frente a ataques del exterior o incluso del interior de la organización. Puede configurar el servidor DNS, integrado con Active Directory, para que use actualizaciones dinámicas seguras con el fin de impedir la modificación no autorizada de los datos DNS. Es posible tomar medidas adicionales para reducir las posibilidades de que un atacante pueda poner en peligro la integridad de la infraestructura DNS.

Tarea Referencia

Determine cuáles son las amenazas para la seguridad DNS más importantes en su entorno y el nivel de seguridad que se necesita.

Información de seguridad para DNS

Para impedir que alguien ajeno a la empresa obtenga información de la red interna, use servidores DNS independientes para la resolución de nombres internos y de Internet. El espacio de nombres DNS interno debe hospedarse en servidores DNS situados detrás del firewall de la red. La presencia externa de DNS en Internet debe administrarla un servidor DNS en una red perimetral. Para ofrecer la resolución de nombres de Internet en hosts internos, puede hacer que los servidores DNS internos usen un reenviador para enviar consultas externas al servidor DNS externo. Configure el enrutador externo y el firewall para permitir el tráfico DNS sólo entre sus servidores DNS internos y externos.

Descripción de reenviadores;

Uso de reenviadores

En el caso de los servidores DNS de la red que están expuestos a Internet, si debe habilitarse la transferencia de zona, restrinja las transferencias de zona DNS a los servidores DNS que identifican los registros de recursos del servidor de nombres (NS) o a los servidores DNS específicos de su red.

Modificación de la configuración de la transferencia de zona

Si el servidor que ejecuta el servicio Servidor DNS es un equipo de host múltiple, restrinja el servicio Servidor DNS para que escuche sólo en la dirección IP de la interfaz que usan sus clientes DNS y sus servidores internos. Por ejemplo, un servidor que actúa como servidor proxy puede tener dos adaptadores de red, uno para la intranet y otro para Internet. Si ese servidor también ejecuta el servicio Servidor DNS, puede configurar el servicio para que escuche el tráfico DNS sólo en la dirección IP que usa el adaptador de red de la intranet.

Configuración de servidores de host múltiple;

Restricción de un servidor DNS para que sólo escuche en direcciones seleccionadas

Asegúrese de que las opciones de servidor predeterminadas que protegen las cachés de todos los servidores DNS frente a la corrupción de los nombres no hayan cambiado. La corrupción de los nombres se produce cuando las respuestas de las consultas DNS contienen datos no autoritativos o malintencionados.

Protección de la caché de servidores contra la corrupción de nombres

Permita sólo actualizaciones dinámicas seguras para todas las zonas DNS. Esto garantiza que únicamente los usuarios autenticados pueden enviar actualizaciones de DNS mediante el uso de un método seguro, lo que puede contribuir a impedir que las direcciones IP de hosts de confianza sean secuestradas por un atacante.

Descripción de la actualización dinámica;

Permiso sólo para actualizaciones dinámicas seguras

Deshabilite la recursividad en servidores DNS que no respondan a clientes DNS directamente y que no estén configurados con reenviadores. Un servidor DNS solamente necesita la recursividad si responde a consultas recursivas de clientes DNS o si está configurado con un reenviador. Los servidores DNS usan consultas iterativas para comunicarse entre ellos.

Deshabilitación de la recursión en el servidor DNS

Si dispone de un espacio de nombres DNS interno y privado, configure las sugerencias de raíz en los servidores DNS internos para que sólo apunten a los servidores DNS que hospeden el dominio raíz interno y no a los servidores DNS que hospedan el dominio raíz de Internet.

Actualización de sugerencias de raíz;

Actualización de sugerencias de raíz en el servidor DNS

Si el servidor que ejecuta el servicio Servidor DNS es un controlador de dominio, use las listas de control de acceso (ACL) de Active Directory para proteger el control de acceso del servicio Servidor DNS.

Modificación de seguridad para el servicio Servidor DNS en un controlador dinámico

Use sólo zonas DNS integradas en AD DS. Las zonas DNS almacenadas en AD DS pueden aprovecharse de las características de seguridad de Active Directory como, por ejemplo, la actualización dinámica segura y la capacidad de aplicar la configuración de seguridad de AD DS a servidores y zonas DNS, y a registros de recursos.

Si una zona DNS no está almacenada en AD DS, proteja el archivo de zona DNS mediante la modificación de los permisos del archivo de zona DNS situado en la carpeta en la que se almacenan los archivos de zona. Los permisos de la carpeta o del archivo de zona deben configurarse para permitir el control total únicamente en el grupo Sistema. Los archivos de zona se almacenan de forma predeterminada en la carpeta %systemroot%\System32\Dns.

Descripción de la integración de los Servicios de dominio de Active Directory;

Configuración de un servidor DNS para su uso con Servicios de dominio de Active Directory


Tabla de contenido