El Sistema de nombres de dominio (DNS) se diseñó originalmente como un protocolo abierto. Por lo tanto, resulta vulnerable ante los atacantes. El DNS de Windows Server 2008 ayuda a mejorar la capacidad de impedir ataques en la infraestructura DNS mediante la adición de características de seguridad. Antes de considerar qué características de seguridad desea usar, debe tener en cuenta las amenazas más habituales contra la seguridad DNS y el nivel de seguridad DNS de la organización.

Amenazas de seguridad DNS

A continuación, se indican las formas habituales en las que la infraestructura DNS puede verse amenazada por los atacantes:

  • Representación: Proceso mediante el que un atacante obtiene los datos de la zona DNS a fin de conseguir nombres de dominio DNS, nombres de equipo y direcciones IP de recursos de red confidenciales. El atacante suele iniciar un ataque con estos datos DNS para hacer un diagrama o "representación" de una red. El dominio DNS y los nombres de equipo normalmente indican la función o la ubicación de un dominio o de un equipo para ayudar a los usuarios a recordar e identificar dominios y equipos de una manera más fácil. El atacante aprovecha el mismo principio de DNS para conocer la función o la ubicación de dominios y equipos de la red.

  • Ataque por denegación de servicio: Intento de un atacante de denegar la disponibilidad de los servicios de red al congestionar uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se congestiona con consultas, su uso de CPU termina alcanzando el nivel máximo y el servicio Servidor DNS deja de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de ésta que usan DNS no están disponibles para los usuarios de la red.

  • Modificación de datos: Intento de un atacante (que realizó una representación de una red con DNS) de usar direcciones IP válidas en paquetes IP que ha creado él mismo. De este modo, parece que estos paquetes proceden de una dirección IP válida de la red. Esto se denomina habitualmente "suplantación de IP". Con una dirección IP válida (una dirección IP dentro del intervalo de direcciones IP de una subred), el atacante puede obtener acceso a la red y destruir datos, o bien realizar otros ataques.

  • Redirección: El atacante redirige las consultas de los nombres DNS a los servidores que se encuentran bajo su control. Los métodos de redirección intentan contaminar la caché DNS de un servidor DNS con datos DNS incorrectos que puedan dirigir las futuras consultas a servidores que controla el atacante. Por ejemplo, si originalmente se realizó una consulta para widgets.tailspintoys.com y una respuesta de referencia proporciona una registro para un nombre que se encuentra fuera del dominio tailspintoys.com, como usuario-malintencionado.com, el servidor DNS usa los datos en caché de usuario-malintencionado.com para resolver una consulta relativa a dicho nombre. Los atacantes pueden lograr la redirección siempre que tengan acceso de escritura a datos DNS, por ejemplo, cuando las actualizaciones dinámicas no son seguras.

Mitigación de amenazas de seguridad DNS

El DNS puede configurarse para mitigar estos problemas de seguridad DNS. En la tabla siguiente se incluyen cinco áreas principales en las que deben centrarse los esfuerzos de seguridad DNS.

Área de seguridad DNS Descripción

Espacio de nombres DNS

Incorpore la seguridad DNS al diseño de espacio de nombres DNS. Para obtener más información, vea Protección de la implementación de DNS.

Servicio Servidor DNS

Revise la configuración de seguridad predeterminada del servicio Servidor DNS y aplique las características de seguridad de Active Directory cuando el servicio se ejecute en un controlador de dominio. Para obtener más información, vea Protección del servicio Servidor DNS.

Zonas DNS

Revise la configuración de seguridad predeterminada de la zona DNS y aplique las actualizaciones dinámicas seguras y las características de seguridad de Active Directory cuando la zona se hospede en un controlador de dominio. Para obtener más información, vea Protección de zonas DNS.

Registros de recursos DNS

Revise la configuración de seguridad predeterminada del registro de recursos DNS y aplique las características de seguridad de Active Directory cuando los registros se hospeden en un controlador de dominio. Para obtener más información, vea Protección de registros de recursos DNS.

Clientes DNS

Controle las direcciones IP del servidor DNS que usen los clientes DNS. Para obtener más información, vea Protección de clientes DNS.

Tres niveles de seguridad DNS

En las secciones siguientes se describen los tres niveles de seguridad DNS.

Seguridad de nivel bajo

La seguridad de nivel bajo es una implementación DNS estándar sin medidas de seguridad configuradas. Implemente este nivel de seguridad DNS únicamente en entornos de red en los que no preocupa la integridad de los datos DNS o bien en una red privada en la que no haya amenazas de conectividad externa. La seguridad DNS de nivel bajo tiene las siguientes características:

  • La infraestructura DNS de la organización se expone completamente a Internet.

  • Todos los servidores DNS de la red llevan a cabo la resolución DNS estándar.

  • Todos los servidores DNS se configuran con sugerencias de raíz que señalan a los servidores raíz de Internet.

  • Todos los servidores DNS permiten las transferencias de zona a cualquier servidor.

  • Todos los servidores DNS están configurados para escuchar todas sus direcciones IP.

  • La función para evitar la contaminación de la caché está deshabilitada en todos los servidores DNS.

  • La actualización dinámica se permite en todas las zonas DNS.

  • El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 está abierto en el firewall de la red, tanto para direcciones de origen como de destino.

Seguridad de nivel medio

La seguridad de nivel medio usa las características de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory (AD DS). La seguridad DNS de nivel medio tiene las siguientes características:

  • La infraestructura DNS de la organización tiene una exposición limitada a Internet.

  • Todos los servidores DNS están configurados para usar reenviadores que señalen a una lista específica de servidores DNS internos cuando no puedan resolver los nombres de forma local.

  • Todos los servidores DNS limitan las transferencias de zona a servidores incluidos en los registros de recursos del servidor de nombres (NS) de sus respectivas zonas.

  • Los servidores DNS se configuran para escuchar en direcciones IP especificadas.

  • La función para evitar la contaminación de la caché está habilitada en todos los servidores DNS.

  • La actualización dinámica no segura no está permitida en ninguna zona DNS.

  • Los servidores DNS internos se comunican con los servidores DNS externos mediante el firewall con una lista limitada de direcciones de origen y de destino permitidas.

  • Los servidores DNS externos delante del firewall se configuran con sugerencias de raíz que señalan a los servidores raíz de Internet.

  • Todas las resoluciones de nombres de Internet se realizan con puertas de enlace y servidores proxy.

Seguridad de nivel alto

La seguridad de nivel alto usa la misma configuración que la seguridad de nivel medio. También usa las características de seguridad disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel alto elimina completamente la comunicación DNS con Internet. No es la configuración típica, pero se recomienda cuando no se requiere conectividad a Internet. La seguridad DNS de nivel alto tiene las siguientes características:

  • En la infraestructura DNS de la organización, los servidores DNS internos no tienen comunicación con Internet.

  • La red usa un espacio de nombres y una raíz DNS de carácter interno; toda la autoridad de las zonas DNS es interna.

  • Los servidores DNS que se configuran con reenviadores sólo usan direcciones IP de servidor DNS interno.

  • Todos los servidores DNS limitan las transferencias de zona a las direcciones IP especificadas.

  • Los servidores DNS se configuran para escuchar en direcciones IP especificadas.

  • La función para evitar daños en la memoria caché está habilitada en todos los servidores DNS.

  • Los servidores DNS internos se configuran con sugerencias de raíz que señalan a los servidores DNS internos que hospedan la zona raíz del espacio de nombres interno.

  • Todos los servidores DNS se ejecutan en controladores de dominio. Se configura una lista de control de acceso discrecional (DACL) en el servicio Servidor DNS para permitir que sólo usuarios específicos realicen tareas administrativas en el servidor DNS.

  • Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura para permitir que sólo usuarios específicos puedan crear, eliminar o modificar zonas DNS.

  • Las listas DACL se configuran en registros de recursos DNS para permitir que sólo usuarios específicos puedan crear, eliminar o modificar datos DNS.

  • La actualización dinámica segura se configura para las zonas DNS, excepto para las zonas raíz y de nivel superior, que no permiten ningún tipo de actualización dinámica.

Tabla de contenido