Asegurar servidores de DNS en una lan?

asm_mripZ · #1 (**permalink**) 09/02/2003, 18:51

Saludos, bueno necesito que alguien me ayude con una duda que tengo con respecto a los servidores dns dentro de una lan, he estado investigando sobre el spoofing el cual ataca ciertos servicios, pero si tengo un servidor de dns(independiente de internet) en una lan como se puede ver afectado este si se tiene la siguiente estructura de red:
Internet
|
|
router
|
|
(interfaz externa)
FIREWALL

|
|
Interfaz (Trusted)
LAN

Dentro de mi interfaz (trusted) esta el controlador de dominio, el cual esta realizando también la función de servidor de dns. Si tengo esta configuración como me puede afectar un ataque al servicio de DNS.

También quisiera consultar si no esta de más activar el firewall del router (para el filtrado de paquetes , restringiendo el acceso externo a la red evitando direcciones de difución, y evitando paquetes de entrada con una dirección fuente de la red interna, paquetes con direcciones privadas , también con 127.0.0.1 y ceros en algunos de sus octetos) y como filtro de salida asegurar que los paquetes salientes contengan como dirección fuente de direcciones externas a la red.

En cuanto al servicio de dns teniendo estas consideraciones:
- Deshabilitando la recursividad o restringiendo las direcciones a las que el dns responde.

PD: el servidor es windows Advance server corriendo active directory.

Gracias de antemano.

Alfon · #2 (**permalink**) 10/02/2003, 04:41

Cita:

También quisiera consultar si no esta de más activar el firewall del router (para el filtrado de paquetes , restringiendo el acceso externo a la red evitando direcciones de difución, y evitando paquetes de entrada con una dirección fuente de la red interna, paquetes con direcciones privadas , también con 127.0.0.1 y ceros en algunos de sus octetos) y como filtro de salida asegurar que los paquetes salientes contengan como dirección fuente de direcciones externas a la red.

Vamos a detenernos un momento en la diefinición de DNS spoofing.

DNS Spoofing

Consiste en el falseamiento del funcionamiento de un servidor de nombres DNS. Esto es: resolver un cierto nombre DNS con una IP falsa o bien resolver una dirección IP con un nombre DNS falso. Puede lograrse modificando directamente las entradas del servidor encargado de resolver una petición, pero también es posible hacerse sin tener acceso a dicho servidor pudiendo el atacante enviar por sí mismo los datos falseados (habría que averiguar los números de secuencia correctos).

Atendiendo a esto:

Tú mismo te estás respondiendo. a parte de todo eso es recomendable cuidar las relacioens de confianza entre host encriptandolas. La predicción de números de secuencia TCP es usada también como técnica spoofing, con lo cual no sería malo que tuvieras un sistema que lo reforzara. Otro sistema es usar ssh, IPSec, filtrar las direcciones por firewall, que tus usuarios siempre logeen con user/pass. routers ( si el DNS mira hgacia afuera ) con funciones antispoofing...

De cualquier manera estamos hablando de un servidor DNS interno, así que una buena manera de empezar sería "blindar" de tal manera el servidor para que nunca pueda recibir datos del exterior. Si está en una subred diferente a la subred que conecta a Internet ese sería el primer paso, a parte claro está de una buena configuración DNS y la activación de las auditorias y eleminar las relaciones de confianza basadas en autentificación IP o nombre de máquina si no quieres tener problemas con DNS soppfing dentro de tu LAN, algo supòngo que altamente improblable.