La seguridad es lo primero: los diez mejores consejos para Enterprise Protection DNS Server

  
                  El software

DNS es el objetivo de los ataques agresivos de los piratas informáticos, que pueden plantear problemas de seguridad. Este artículo proporciona las 10 formas más efectivas de proteger los servidores DNS.

1.Utilizando DNS Forwarders

DNS Forwarders son servidores DNS que realizan consultas DNS para otros servidores DNS. El propósito principal de usar los reenviadores de DNS es aliviar la presión del procesamiento de DNS, transferir las solicitudes de consulta del servidor DNS a los reenviadores y beneficiarse de cachés de DNS potencialmente más grandes para los reenviadores de DNS.

Otra ventaja de usar un reenviador de DNS es que evita que el servidor DNS reenvíe las solicitudes de consulta de los servidores de Internet DNS. Esto es muy importante si su servidor DNS mantiene sus registros de recursos de DNS internos del dominio. En lugar de tener el servidor DNS interno de forma recursiva consultar y contactar directamente con el servidor DNS, déjelo usar el reenviador para manejar las solicitudes no autorizadas.

2. Utilizar solo el servidor DNS del búfer.

Solo el servidor DNS del búfer es para el nombre de dominio autorizado. Se utiliza como una consulta recursiva o mediante un reenviador. Cuando solo el servidor DNS en búfer recibe una respuesta, guarda el resultado en el caché y envía el resultado al sistema que realizó la solicitud de consulta de DNS. Con el tiempo, solo los servidores DNS de búfer pueden recopilar una gran cantidad de comentarios de DNS, lo que puede reducir en gran medida el tiempo que toma proporcionar respuestas de DNS.

Use un servidor DNS de solo búfer como reenviador para mejorar la seguridad de su organización bajo su control de administración. El servidor DNS interno solo puede proteger el servidor DNS como su propio reenviador, y solo almacenar el servidor DNS para completar la consulta recursiva en lugar de su servidor DNS interno. El uso de su propio servidor DNS en búfer como reenviador puede mejorar la seguridad porque no necesita depender del servidor DNS de su ISP como reenviador, especialmente si no puede confirmar la seguridad del servidor DNS del ISP.

3. Usar anunciantes de DNS (DNSadvertisers)

El anunciante de DNS es un servidor DNS responsable de resolver las consultas en el dominio. Por ejemplo, si su host es un recurso disponible públicamente para domain.com y corp.com, su servidor DNS público debe configurar los archivos de zona DNS para domain.com y corp.com.

La configuración del anunciante DNS que no sea el servidor DNS que alberga el archivo de zona DNS son consultas que el anunciante DNS solo responde al nombre de dominio que autoriza. Este tipo de servidor DNS no realiza consultas recursivas contra otros servidores DNS. Esto evita que los usuarios utilicen su servidor DNS público para resolver otros nombres de dominio. Mayor seguridad al reducir los riesgos asociados con la ejecución de un sistema de resolución de DNS público, incluido el envenenamiento de caché.

4. Usando el sistema de resolución de DNS

El sistema de resolución de DNS es un servidor DNS que puede realizar consultas recursivas y puede resolver un nombre de dominio autorizado. Por ejemplo, puede tener un servidor DNS en su red interna que autoriza el nombre de dominio de red interna del servidor DNS internocorp.com. Cuando un cliente en la red usa este servidor DNS para resolver techrepublic.com, el servidor DNS realiza una recursión consultando a otros servidores DNS para obtener una respuesta.

La diferencia entre un servidor DNS y un sistema de resolución de DNS es que el sistema de resolución de DNS es solo para resolver nombres de host de Internet. El servidor de resolución de DNS puede ser un servidor DNS solo de caché con un nombre de dominio DNS no autorizado. Puede hacer la resolución de DNS solo para usuarios internos, también puede hacerlo solo para usuarios externos, por lo que no tiene que configurar un servidor DNS fuera del control, lo que mejora la seguridad. Por supuesto, también puede tener resolutores DNS utilizados por usuarios internos y externos.

5. Proteger el DNS de la contaminación de la memoria caché

La contaminación de la memoria caché del DNS se ha convertido en un problema cada vez más común. La mayoría de los servidores DNS pueden guardar los resultados de las consultas DNS en la memoria caché antes de responder al host que realiza la solicitud. El almacenamiento en caché de DNS puede mejorar considerablemente el rendimiento de las consultas de DNS dentro de su organización. El problema es que si la memoria caché de su servidor DNS está "contaminada" por una gran cantidad de información falsa de DNS, los usuarios pueden ser enviados a sitios maliciosos en lugar de a los sitios a los que originalmente querían acceder.

La mayoría de los servidores DNS pueden evitar la contaminación de la memoria caché mediante la configuración. El estado de configuración predeterminado del servidor DNS de Windows Server 2003 puede evitar la contaminación de la memoria caché. Si está utilizando un servidor DNS de Windows 2000, puede configurarlo, abrir el cuadro de diálogo Propiedades del servidor DNS y hacer clic en la tabla "Avanzado". Seleccione la opción "Evitar la contaminación de la memoria caché" y reinicie el servidor DNS.

6. Hacer que DDNS use solo conexiones seguras

Muchos servidores DNS aceptan actualizaciones dinámicas. La función de actualización dinámica permite a estos servidores DNS registrar el nombre de host y la dirección IP de un host mediante DHCP. DDNS puede reducir en gran medida los costos administrativos de los administradores de DNS ligeros; de lo contrario, los administradores deben configurar manualmente los registros de recursos de DNS para estos hosts.

Sin embargo, si la actualización DDNS no detectada se actualiza, puede causar serios problemas de seguridad. Un usuario malintencionado puede configurar el host para que se convierta en un registro de host DNS que se actualiza dinámicamente por un servidor de archivos, un servidor web o un servidor de bases de datos. Si alguien quiere conectarse a estos servidores, se transferirán a otras máquinas.

Puede reducir el riesgo de actualizaciones de DNS maliciosas realizando una actualización dinámica al requerir una conexión segura al servidor DNS. Esto es fácil de hacer, solo necesita configurar su servidor DNS para usar las Zonas Integradas de Active Directory (ActiveDirectory IntegratedZones) y requiere una actualización dinámica segura. De esta manera, todos los miembros del dominio pueden actualizar su información de DNS de forma segura y dinámica.

7. Deshabilitar transferencia de zona

La transferencia de zona se realiza entre el servidor DNS primario y el servidor DNS secundario. El servidor DNS primario autoriza un nombre de dominio específico con un archivo de zona DNS regrabable que se puede actualizar según sea necesario. Una copia de solo lectura de estos archivos de zona se recibe del servidor DNS primario del servidor DNS. El servidor DNS se utiliza para mejorar el rendimiento de respuesta de las consultas internas o de DNS de Internet.

Sin embargo, las transferencias de zona no son solo para servidores DNS. Cualquier persona que pueda realizar una solicitud de consulta de DNS puede provocar un cambio en la configuración del servidor DNS que permita a la zona volcar sus propios archivos de base de datos de zona. Los usuarios malintencionados pueden usar esta información para explorar planes de nombres dentro de su organización y atacar arquitecturas de servicios críticos. Puede configurar su servidor DNS, deshabilitar las solicitudes de transferencia de zona o permitir transferencias de zona solo para servidores específicos dentro de su organización por precauciones de seguridad.

8. Use un firewall para controlar el acceso a DNS

Se puede usar un firewall para controlar quién puede conectarse a su servidor DNS. Para los servidores DNS que solo responden a las solicitudes internas de consulta del usuario, el firewall debe configurarse para evitar que los hosts externos se conecten a estos servidores DNS. Para los servidores DNS que actúan como reenviadores de solo caché, la configuración del firewall debe configurarse para permitir solo aquellas solicitudes de consulta de los servidores DNS que solo almacenan en caché. Un punto importante en la configuración de la política de firewall es evitar que los usuarios internos se conecten a servidores DNS externos mediante el protocolo DNS.

9. Establezca el control de acceso en el registro DNS

En los servidores DNS basados ​​en Windows, debe configurar el control de acceso en el registro relacionado con el servidor DNS, de modo que solo aquellos que necesitan acceder La cuenta puede leer o modificar estas configuraciones de registro.

La clave HKLMCurrentControlSetServicesDNS solo debe permitir el acceso de los administradores y las cuentas del sistema, que deben tener control total.

10. Establezca el control de acceso en la entrada del sistema de archivos DNS

En el servidor DNS basado en Windows, debe configurar el control de acceso en la entrada del sistema de archivos del servidor DNS, de modo que solo se pueda acceder a la cuenta Puedes leer o modificar estos archivos.

La carpeta y las subcarpetas% system_directory% DNS solo deben permitir el acceso a la cuenta del sistema, y ​​la cuenta del sistema debe tener control total.

Copyright © Conocimiento de Windows All Rights Reserved