Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
▼
abril
(Total:
8
)
- Guia de seguridad en servicios DNS
- ¿Las redes P2P son legales en España? Crear softwa...
- Grave vulnerabilidad en OpenSSL llamada Heartbleed
- Falso antivirus de pago para Android estafa a más ...
- Campaña de FACUA para que las operadoras liberen g...
- HighSecCON III - Conferencias Seguridad Informática
- Nuevo conector reversible USB 3.1
- Windows 8 volverá a tener el menú de inicio, y apl...
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
307
)
Malware
(
266
)
Windows
(
246
)
android
(
244
)
cve
(
239
)
tutorial
(
238
)
manual
(
223
)
software
(
206
)
hardware
(
197
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Si tienes claro que buscas un AMD, pero no sabes cual… esta es tu comparativa. Cuando compramos CPU, debemos tener en cuenta la plataforma...
Guia de seguridad en servicios DNS
martes, 22 de abril de 2014
|
Publicado por
el-brujo
|
Editar entrada
DNS, acrónimo de Domain Name System, es un componente crucial en el
funcionamiento de Internet y sin duda de gran importancia en el correcto
flujo de comunicaciones en red. INTECO publica una guía en formato PDF orientada a usuarios
técnicos para ofrecer un documento de referencia del protocolo DNS,
incluyendo los aspectos relacionados con la seguridad del servicio ,
describiendo las líneas base para su implementación y bastionado.
Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica una “base de datos” donde se asocian nombres a direcciones IP y a la inversa de forma que sea mucho más sencillo de recordar y manejar por las personas.
Esta misión de DNS, en apariencia básica, conlleva una importante responsabilidad al constituir una base en las comunicaciones IP, por ello es de vital importancia mantener el sistema preparado para prevenir y contrarrestar las amenazas existentes contra este servicio. DNS por su extensión y diseño, está expuesto a numerosas amenazas, cuyos paradigmas fundamentales son, entre otros, denegaciones de servicio DoS por ataques de amplificación DNS , secuestro de dominios para redireccionar tráfico a sitios maliciosos, o envenenamiento de caché DNS de servidores para provocar resoluciones manipuladas de los dominios atacados.
Con esta idea en mente, INTECO publica una guía orientada a usuarios técnicos para ofrecer un documento de referencia del protocolo DNS, incluyendo los aspectos relacionados con la seguridad del servicio , describiendo las líneas base para su implementación y bastionado.
En esta guía se puede encontrar, además de una visión completa de los elementos que integran el servicio y el entorno DNS, una descripción detallada de la base funcional del protocolo y sus componentes de seguridad. Concretamente, en el ámbito de la seguridad, se ofrece una explicación de las vulnerabilidades y principales amenazas que afectan al protocolo y se aportan indicaciones para su mitigación y/o mitigación tanto a nivel genérico, como específicamente para el software BIND9 de Internet System Consortium, el más extendido y utilizado en servidores DNS.
En la guía se incluyen las siguientes secciones:
• Open resolver: Servidor que ofrece servicio DNS recursivo accesible públicamente a cualquier cliente (resolver) que lo solicite.
• Recursión: Las acciones que un servidor DNS toma para entregar la información solicitada a un resolver preguntando a otros servidores.
• Servidor Autoritativo: El servidor DNS que mantiene, distribuye y responde a solicitudes DNS consultando la información almacenada en sus registros, en inglés, Resource Records (RRs). Puede ser primario o secundario.
• Servidor Autoritativo Master (Primario): Es el servidor DNS autoritativo que contiene almacena las versiones definitivas de los registros que administra.
• Servidor Autoritativo Stealth (Oculto): Servidor autoritativo primario para algunas zonas pero que no aparece en los registros NS de las mismas. El objeto es mantenerlo oculto a consultas tipo NS, que puede ser útil por ejemplo para servidores internos.
• Servidor Autoritativo Esclavo (Secundario): Es el servidor DNS autoritativo que almacena una copia de los registros administrados por el servidor Master. Cuando algún cambio se ha producido en los registros del servidor master o primario, es notificado a los esclavos que solicitan e inician una transferencia de zona.
• Servidor DNS caché (resolver recursivo): Es un servidor DNS intermediario que obtiene la respuesta a solicitudes DNS, consultando servidores autoritativos, y la almacena en caché para tenerlas disponibles y servirlas a clientes (resolvers). Su función es mejorar el rendimiento de las respuestas y contribuir a reducir la carga de tráfico DNS en internet.
• Zona: Base de datos que un servidor autoritativo contiene sobre un conjunto de dominios.
• Transferencia de Zona: Comunicación (transacción) entre servidores DNS para la replicación de los contenidos de zona entre ellos. Es una comunicación cliente-servidor TCP con en dos tipos: completa (AXFR) o incremental (IXFR, para actualizar de cambios).
• FQDN: Fully Qualified Domain Name. Es el nombre absoluto y completo que identifica un recurso en la base de datos distribuida del espacio DNS.
• Registro DNS ó RR: Resource Record. Contiene la información de un registro DNS que se envía en los mensajes DNS. Tabla 1. Formato de registro. Resource Record (RR). Compuesto por seis campos: NAME, TYPE, CLASS, TTL, RDLENGTH y RDATA
• Mensaje DNS: Estructura diseñada para la comunicación IP entre los integrantes del espacio DNS y transmitir información. Se compone de 5 campos: HEADER, QUESTION, ANSWER, AUTHORITY y ADDITIONAL. SEGURIDAD EN DNS.
El campo TYPE contiene un código que identifica de qué tipo de registro se trata. Existen multitud de tipos de registros definidos en distintos RFCs2 TIPO (valor campo TYPE) para cubrir otras tantas funcionalidades. Algunos de los tipos más comunes se muestran en la siguiente tabla:
Función
A = Address – (Dirección)
Traduce (resuelve) nombres de recursos a direcciones IPv4
AAAA = Address – (Dirección)
Traduce (resuelve) nombres de recursos a direcciones IPv6
CAA = Certification Authority Authorization
Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica una “base de datos” donde se asocian nombres a direcciones IP y a la inversa de forma que sea mucho más sencillo de recordar y manejar por las personas.
Esta misión de DNS, en apariencia básica, conlleva una importante responsabilidad al constituir una base en las comunicaciones IP, por ello es de vital importancia mantener el sistema preparado para prevenir y contrarrestar las amenazas existentes contra este servicio. DNS por su extensión y diseño, está expuesto a numerosas amenazas, cuyos paradigmas fundamentales son, entre otros, denegaciones de servicio DoS por ataques de amplificación DNS , secuestro de dominios para redireccionar tráfico a sitios maliciosos, o envenenamiento de caché DNS de servidores para provocar resoluciones manipuladas de los dominios atacados.
Con esta idea en mente, INTECO publica una guía orientada a usuarios técnicos para ofrecer un documento de referencia del protocolo DNS, incluyendo los aspectos relacionados con la seguridad del servicio , describiendo las líneas base para su implementación y bastionado.
En esta guía se puede encontrar, además de una visión completa de los elementos que integran el servicio y el entorno DNS, una descripción detallada de la base funcional del protocolo y sus componentes de seguridad. Concretamente, en el ámbito de la seguridad, se ofrece una explicación de las vulnerabilidades y principales amenazas que afectan al protocolo y se aportan indicaciones para su mitigación y/o mitigación tanto a nivel genérico, como específicamente para el software BIND9 de Internet System Consortium, el más extendido y utilizado en servidores DNS.
En la guía se incluyen las siguientes secciones:
- Fundamentos de DNS: donde se explican los conceptos, objetivos y funcionamiento de un sistema DNS.
- Seguridad en DNS: a partir en un escenario típico DNS se identifican los posibles vectores de ataque y los activos afectados
- Vulnerabilidades y amenazas en DNS (Dns Cache, DNS Poisoning y DNS Hijacking): incluyendo las debilidades intrínsecas al diseño del protocolo DNS y los principales ataques que sacan partido de la las mismas.
- Bastionado DNS (Chroot, logging): detalle de las medidas de seguridad a implementar en los tres grandes superficies de ataque del servicio DNS: Infraestructura del servicio DNS, Comunicaciones y transacciones y Datos.
- DNSSEC: introducción, uso y funcionamiento.
- Ejemplos prácticos del uso de DIG
La guía está disponible en el siguiente enlace:
Algunas de las medidas comentadas en INTECTO ya fueron tratadas en el blog en las entradas:
CONCEPTOS CLAVE
• Resolver: Un cliente DNS que se encarga de componer y mandar los mensajes DNS a los servidores para obtener la información requerida sobre el dominio deseado.• Open resolver: Servidor que ofrece servicio DNS recursivo accesible públicamente a cualquier cliente (resolver) que lo solicite.
• Recursión: Las acciones que un servidor DNS toma para entregar la información solicitada a un resolver preguntando a otros servidores.
• Servidor Autoritativo: El servidor DNS que mantiene, distribuye y responde a solicitudes DNS consultando la información almacenada en sus registros, en inglés, Resource Records (RRs). Puede ser primario o secundario.
• Servidor Autoritativo Master (Primario): Es el servidor DNS autoritativo que contiene almacena las versiones definitivas de los registros que administra.
• Servidor Autoritativo Stealth (Oculto): Servidor autoritativo primario para algunas zonas pero que no aparece en los registros NS de las mismas. El objeto es mantenerlo oculto a consultas tipo NS, que puede ser útil por ejemplo para servidores internos.
• Servidor Autoritativo Esclavo (Secundario): Es el servidor DNS autoritativo que almacena una copia de los registros administrados por el servidor Master. Cuando algún cambio se ha producido en los registros del servidor master o primario, es notificado a los esclavos que solicitan e inician una transferencia de zona.
• Servidor DNS caché (resolver recursivo): Es un servidor DNS intermediario que obtiene la respuesta a solicitudes DNS, consultando servidores autoritativos, y la almacena en caché para tenerlas disponibles y servirlas a clientes (resolvers). Su función es mejorar el rendimiento de las respuestas y contribuir a reducir la carga de tráfico DNS en internet.
• Zona: Base de datos que un servidor autoritativo contiene sobre un conjunto de dominios.
• Transferencia de Zona: Comunicación (transacción) entre servidores DNS para la replicación de los contenidos de zona entre ellos. Es una comunicación cliente-servidor TCP con en dos tipos: completa (AXFR) o incremental (IXFR, para actualizar de cambios).
• FQDN: Fully Qualified Domain Name. Es el nombre absoluto y completo que identifica un recurso en la base de datos distribuida del espacio DNS.
• Registro DNS ó RR: Resource Record. Contiene la información de un registro DNS que se envía en los mensajes DNS. Tabla 1. Formato de registro. Resource Record (RR). Compuesto por seis campos: NAME, TYPE, CLASS, TTL, RDLENGTH y RDATA
• Mensaje DNS: Estructura diseñada para la comunicación IP entre los integrantes del espacio DNS y transmitir información. Se compone de 5 campos: HEADER, QUESTION, ANSWER, AUTHORITY y ADDITIONAL. SEGURIDAD EN DNS.
Tipos de Registros DNS
El campo TYPE contiene un código que identifica de qué tipo de registro se trata. Existen multitud de tipos de registros definidos en distintos RFCs2 TIPO (valor campo TYPE) para cubrir otras tantas funcionalidades. Algunos de los tipos más comunes se muestran en la siguiente tabla:
Función
A = Address – (Dirección)
Traduce (resuelve) nombres de recursos a direcciones IPv4
AAAA = Address – (Dirección)
Traduce (resuelve) nombres de recursos a direcciones IPv6
CAA = Certification Authority Authorization
El propósito de los registros CAA es “designar” una o más entidades de certificación a emitir certificados SSL/TLS a un dominio o subdominio específicos. Acepta 3 flags, issue, issuewild e iodef
CNAME = Canonical Name – (Nombre Canónico)
Crear nombres adicionales, o alias, para el recurso
NS = Name Server – (Servidor de Nombres)
Indica qué servidor(es) almacenan la información del dominio consultado
MX = Mail Exchange (Registro de Intercambio de Correo)
Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o más servicios de correo.
PTR = Pointer – (Puntero)
Inverso del registro A, traduciendo IPs en nombres de dominio.
SOA = Start of authority – (Autoridad de la zona)
Indica el servidor DNS primario de la zona, responsable del mantenimiento de la información de la misma.
HINFO = Host INFOrmation – (Información del recurso)
Descripción de la CPU y sistema operativo que almacena la información de un dominio. Suele ocultarse.
TXT = TeXT - ( Información textual)
Permite a los dominios proporcionar datos adicionales. TXT incluye registros DMARC y domainkey (DKIM)
LOC = LOCalización
Permite indicar las coordenadas geográficas del dominio.
SRV = SeRVicios -
Información sobre los servicios que ofrecidos
SPF = Sender Policy Framework -
Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega. Su uso se pretende abandonar a favor de registro TXT3
ANY = Todos .
Para solicitar todos los registros disponibles
Fuente:
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/GUIA_DNS
CNAME = Canonical Name – (Nombre Canónico)
Crear nombres adicionales, o alias, para el recurso
NS = Name Server – (Servidor de Nombres)
Indica qué servidor(es) almacenan la información del dominio consultado
MX = Mail Exchange (Registro de Intercambio de Correo)
Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o más servicios de correo.
PTR = Pointer – (Puntero)
Inverso del registro A, traduciendo IPs en nombres de dominio.
SOA = Start of authority – (Autoridad de la zona)
Indica el servidor DNS primario de la zona, responsable del mantenimiento de la información de la misma.
HINFO = Host INFOrmation – (Información del recurso)
Descripción de la CPU y sistema operativo que almacena la información de un dominio. Suele ocultarse.
TXT = TeXT - ( Información textual)
Permite a los dominios proporcionar datos adicionales. TXT incluye registros DMARC y domainkey (DKIM)
LOC = LOCalización
Permite indicar las coordenadas geográficas del dominio.
SRV = SeRVicios -
Información sobre los servicios que ofrecidos
SPF = Sender Policy Framework -
Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega. Su uso se pretende abandonar a favor de registro TXT3
ANY = Todos .
Para solicitar todos los registros disponibles
Fuente:
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/GUIA_DNS
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.