Garantizar la seguridad del DNS en los dominios de Windows 2003

Garantizar la seguridad del sistema de nombres de dominio (DNS) en los dominios de Windows Server 2003 es un requisito muy básico. Active Directory (AD) usa DNS para ubicar los recursos requeridos por los controladores de dominio y otros servicios de dominio (como archivos, impresoras, correo, etc.). Dado que DNS es una parte integral del sistema de dominio de Active Directory, debe estar seguro desde el principio. Al instalar DNS en Windows Server 2003, no modifique la configuración predeterminada de "Active Directory Integration DNS". Microsoft comenzó a ofrecer esta configuración en 2000. Esto significa que el sistema solo almacena datos de DNS en el servidor DNS, y no guarda ni copia información sobre el controlador de dominio y el servidor de directorio global. Esto no solo mejora la velocidad de operación, sino que también mejora la eficiencia operativa de los tres servidores. El cifrado de la transferencia de datos entre el servidor DNS y el cliente (u otro servidor) también es crítico. DNS usa el puerto TCP /UDP 53; al filtrar este puerto en diferentes puntos de su perímetro de seguridad, puede asegurarse de que el servidor DNS solo acepte conexiones autenticadas. Además, también es un buen momento para implementar IPSec para cifrar la transferencia de datos entre el cliente DNS y el servidor. La activación de IPSec garantiza que la comunicación entre todos los clientes y servidores esté confirmada y encriptada. Esto significa que su cliente solo se comunica con servidores autenticados y ayuda a evitar que las solicitudes sean falsificadas o comprometidas. Después de configurar el servidor DNS, continúe monitoreando la conexión, al igual que presta atención a otros objetivos de alto valor en la empresa. El servidor DNS requiere el ancho de banda disponible para atender la solicitud del cliente. Si ve una gran cantidad de tráfico de red en una máquina de origen hacia un servidor DNS, es posible que haya sufrido un ataque de denegación de servicio (DoS). Corte la conexión directamente desde la fuente o desconecte la conexión de red del servidor hasta que investigue el problema. Recuerde que un ataque DoS exitoso en el servidor DNS causará directamente el bloqueo de Active Directory. Con la configuración predeterminada (Actualización de seguridad dinámica), solo los clientes autenticados pueden registrar y actualizar la información del portal en el servidor. Esto puede evitar que un atacante modifique la información de su portal DNS, lo que puede inducir a error a los clientes en sitios web cuidadosamente diseñados para robar información importante, como información financiera. También puede usar cuotas para bloquear ataques de inundación de clientes en DNS. Los clientes usualmente solo pueden registrar 10 registros. Al limitar el número de destinos que puede registrar un solo cliente, puede evitar que un cliente realice ataques DoS en su propio servidor DNS. Nota: asegúrese de usar cuotas diferentes para servidores DHCP, controladores de dominio y servidores de múltiples servidores. Es posible que estos servidores deban registrar cientos de destinos o usuarios según las características que proporcionen. El servidor DNS responderá a cualquier solicitud de consulta dentro de una zona autorizada. Para ocultar su arquitectura de red interna del mundo exterior, generalmente necesita configurar un espacio de nombres separado, lo que generalmente significa que un servidor DNS es responsable de su arquitectura DNS interna, y el otro servidor DNS es responsable de la arquitectura de DNS externa e Internet. Al evitar que los usuarios externos accedan a los servidores DNS internos, puede evitar la divulgación de recursos internos no abiertos. Finalmente, ya sea que esté ejecutando una red de Windows o una combinación de UNIX y Windows, la seguridad de DNS debe estar en el centro de su red. Tome medidas para proteger el DNS de ataques externos e internos.