Guia De Seguridad En Servicios Dns
Antonio López Padilla
Coordinación
Daniel Fírvida Pereira
La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:
Reconocimiento. Elcontenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia
y haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial. El material original y los trabajos derivados puedenser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso de INTECO-CERT como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
Laimagen utilizada en el fondo de la portada ha sido diseñada por Freepik.com
Guía de seguridad en servicios DNS
2
INDICE
1
OBJETIVO DE LA GUÍA
5
2
FUNDAMENTOS DE DNS
6
¿QUÉ ES DNS?
6
ELEMENTOS INTEGRANTES DE DNS
6
ESPACIO DE DOMINIOS DE NOMBRES. JERARQUÍA Y SINTAXIS
7
SERVIDORES DE NOMBRES
9
RESOLVERS
REGISTROS DNS. FORMATO Y TIPOS
10
COMUNICACIONES Y TRANSACCIONES DNS
12PROTOCOLO DNS
12
MENSAJES DNS
12
TRANSACCIONES DNS
16
CONCEPTOS clave
3
10
SEGURIDAD EN DNS
AMENAZAS Y VULNERABILIDADES EN DNS
21
22
22
VECTORES DE ATAQUE Y AMENAZAS EN UN ESCENARIO DNS 22
VULNERABILIDADES Y PUNTOS DÉBILES EN LA ESPECIFICACIÓN DNS.
23
4
DNS CACHE POISONING Y DNS SPOOFING.
25
DESCRIPCIÓN DEL ATAQUE
25
MEDIDAS CONTRA EL ATAQUE DE CACHÉ POISONING
26
ATAQUES DEDENEGACIÓN DE SERVICIO
29
ATAQUE DE AMPLIFICACIÓN DNS
29
DESCRIPCIÓN DEL ATAQUE
29
PROTECCIÓN DE UN SERVIDOR EN ATAQUES DE AMPLIFICACIÓN DNS
30
DENEGACIÓN DE SERVICIO DOS
31
ATAQUES SOBRE EL REGISTRO DE DOMINIOS. DNS HIJACKING
32
DESCRIPCIÓN
32
MEDIDAS CONTRA DNS HIJACKING O SECUESTRO DE DOMINIO 32
5
FORTIFICACION DE UN SERVICIO DNS
34
SEGURIDAD DEL ENTORNO BASE DEL SISTEMA Y EL SOFTWARE
35SISTEMA OPERATIVO
35
CONFIGURACIÓN DEL SOFTWARE
35
TOPOLOGÍA DE RED.
39
Guía de seguridad en servicios DNS
3
MONITORIZACIÓN INTERNA
42
RESUMEN DE MEDIDAS EN EL ENTORNO BASE DEL SERVICIO DNS 42
MEDIDAS DE SEGURIDAD EN LAS TRANSACCIONES.
43
SEGURIDAD EN CONSULTAS Y RESPUESTAS DNS.
43
SEGURIDAD EN TRANSACCIONES DE TRANSFERENCIAS DE ZONA 46
SEGURIDAD EN NOTIFICACIONES
47
SEGURIDAD ENACTUALIZACIONES DINÁMICAS
48
RESUMEN DE MEDIDAS EN LA PROTECCIÓN DE LAS TRANSACCIONES
49
MEDIDAS DE SEGURDAD EN LA PROTECCIÓN DE LOS DATOS.
49
FICHEROS DE ZONA. PARAMETRIZACIÓN EN REGISTROS SOA 49
RESTRINGIR INFORMACIÓN
REGISTROS
PROPORCIONADA
POR
TIPOS
50
DE
RESUMEN DE LAS MEDIDAS EN LA PROTECCIÓN DE LOS DATOS51
6
DNSSEC
52
QUÉ ES Y CÓMO FUNCIONA
52
COMPONENTES Y OPERACIONES
52DIFICULTADES EN EL USO DE DNSSEC
57
DESPLEGANDO DNSSEC
58
INDICES Y REFERENCIAS
59
REFERENCIAS TÉCNICAS
59
DOCUMENTACIÓN
59
INDICE DE ILUSTRACIONES
60
INDICE DE CONFIGURACIONES
61
ANEXOS
62
TRANSACTION SIGNATURE. TSIG.
62
EJEMPLOS PRÁCTICOS DE USO DE DIG
63
ENLACES Y HERRAMIENTAS ÚTILES
72
Guía de seguridad en servicios DNS
4
1
OBJETIVO DE LA GUÍA
El objeto de esta guíaes ofrecer una visión general del servicio DNS, describir los principales ataques
de los que es objeto este protocolo o que hacen uso del mismo y proporcionar una orientación sobre
las buenas prácticas a aplicar para asegurar su funcionamiento.
Dirigida a operadores y administradores sistemas y redes, pretende servir de ayuda en la
implementación o bastionado del servicio.
Aunque el enfoque del...
Regístrate para leer el documento completo.