Guia De Seguridad En Servicios Dns

Autor
Antonio López Padilla

Coordinación
Daniel Fírvida Pereira

La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:



Reconocimiento. Elcontenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia
y haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial. El material original y los trabajos derivados puedenser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso de INTECO-CERT como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
Laimagen utilizada en el fondo de la portada ha sido diseñada por Freepik.com

Guía de seguridad en servicios DNS

2

INDICE
1

OBJETIVO DE LA GUÍA

5

2

FUNDAMENTOS DE DNS

6

¿QUÉ ES DNS?

6

ELEMENTOS INTEGRANTES DE DNS

6

ESPACIO DE DOMINIOS DE NOMBRES. JERARQUÍA Y SINTAXIS

7

SERVIDORES DE NOMBRES

9

RESOLVERS
REGISTROS DNS. FORMATO Y TIPOS

10

COMUNICACIONES Y TRANSACCIONES DNS

12PROTOCOLO DNS

12

MENSAJES DNS

12

TRANSACCIONES DNS

16

CONCEPTOS clave
3

10

SEGURIDAD EN DNS
AMENAZAS Y VULNERABILIDADES EN DNS

21
22
22

VECTORES DE ATAQUE Y AMENAZAS EN UN ESCENARIO DNS 22
VULNERABILIDADES Y PUNTOS DÉBILES EN LA ESPECIFICACIÓN DNS.
23

4

DNS CACHE POISONING Y DNS SPOOFING.

25

DESCRIPCIÓN DEL ATAQUE

25

MEDIDAS CONTRA EL ATAQUE DE CACHÉ POISONING

26

ATAQUES DEDENEGACIÓN DE SERVICIO

29

ATAQUE DE AMPLIFICACIÓN DNS

29

DESCRIPCIÓN DEL ATAQUE

29

PROTECCIÓN DE UN SERVIDOR EN ATAQUES DE AMPLIFICACIÓN DNS
30
DENEGACIÓN DE SERVICIO DOS

31

ATAQUES SOBRE EL REGISTRO DE DOMINIOS. DNS HIJACKING

32

DESCRIPCIÓN

32

MEDIDAS CONTRA DNS HIJACKING O SECUESTRO DE DOMINIO 32
5

FORTIFICACION DE UN SERVICIO DNS

34

SEGURIDAD DEL ENTORNO BASE DEL SISTEMA Y EL SOFTWARE

35SISTEMA OPERATIVO

35

CONFIGURACIÓN DEL SOFTWARE

35

TOPOLOGÍA DE RED.

39

Guía de seguridad en servicios DNS

3

MONITORIZACIÓN INTERNA

42

RESUMEN DE MEDIDAS EN EL ENTORNO BASE DEL SERVICIO DNS 42
MEDIDAS DE SEGURIDAD EN LAS TRANSACCIONES.

43

SEGURIDAD EN CONSULTAS Y RESPUESTAS DNS.

43

SEGURIDAD EN TRANSACCIONES DE TRANSFERENCIAS DE ZONA 46
SEGURIDAD EN NOTIFICACIONES

47

SEGURIDAD ENACTUALIZACIONES DINÁMICAS

48

RESUMEN DE MEDIDAS EN LA PROTECCIÓN DE LAS TRANSACCIONES
49
MEDIDAS DE SEGURDAD EN LA PROTECCIÓN DE LOS DATOS.

49

FICHEROS DE ZONA. PARAMETRIZACIÓN EN REGISTROS SOA 49
RESTRINGIR INFORMACIÓN
REGISTROS

PROPORCIONADA

POR

TIPOS
50

DE

RESUMEN DE LAS MEDIDAS EN LA PROTECCIÓN DE LOS DATOS51
6

DNSSEC

52

QUÉ ES Y CÓMO FUNCIONA

52

COMPONENTES Y OPERACIONES

52DIFICULTADES EN EL USO DE DNSSEC

57

DESPLEGANDO DNSSEC

58

INDICES Y REFERENCIAS

59

REFERENCIAS TÉCNICAS

59

DOCUMENTACIÓN

59

INDICE DE ILUSTRACIONES

60

INDICE DE CONFIGURACIONES

61

ANEXOS

62

TRANSACTION SIGNATURE. TSIG.

62

EJEMPLOS PRÁCTICOS DE USO DE DIG

63

ENLACES Y HERRAMIENTAS ÚTILES

72

Guía de seguridad en servicios DNS

4

1

OBJETIVO DE LA GUÍA

El objeto de esta guíaes ofrecer una visión general del servicio DNS, describir los principales ataques
de los que es objeto este protocolo o que hacen uso del mismo y proporcionar una orientación sobre
las buenas prácticas a aplicar para asegurar su funcionamiento.
Dirigida a operadores y administradores sistemas y redes, pretende servir de ayuda en la
implementación o bastionado del servicio.
Aunque el enfoque del...