La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS).

Publicada porDiego Cordero Pereyra Modificado hace 8 años

Presentaciones similares

Presentación del tema: "UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS)."— Transcripción de la presentación:

1 UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS).

2 Domain Name System o DNS (sistema de nombres de dominio) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Cada equipo conectado directamente a Internet tiene al menos una dirección IP específica. Sin embargo, los usuarios no desean trabajar con direcciones numéricas, como por ejemplo 194.153.205.26, sino con un nombre de dominio o más específicamente, con direcciones (llamadas direcciones FQDN) como por ejemplo es: www.unila.edu.mx. Es posible asociar nombres en lenguaje normal con direcciones numéricas gracias a un sistema llamado DNS (Sistema de Nombres de Dominio). ¿Qué es DNS?

3 98.139.102.145 108.162.197.144 173.194.115.88 192.133.23.11 Esta correlación entre las direcciones IP y el nombre de dominio asociado se llama resolución de nombres de dominio (o resolución de direcciones). ¿A QUE NOMBRE DE DOMINO CORRESPONDEN LAS SIGUIENTES DIRECCIONES IPS …?

4 DNS: Vulnerabilidades, amenazas y ataques El sistema de nombres de dominio (DNS, Domain Ñame System) se diseñó originalmente como un protocolo. Antes de considerar qué características de seguridad utilizar, mencionamos las amenazas comunes para la seguridad DNS y los niveles de seguridad DNS de su organización.

5 DNS: Vulnerabilidades, amenazas y ataques Amenazas para la seguridad DNS Son las formas comunes en que los intrusos pueden amenazar la infraestructura DNS: r La ocupación. r Un intruso suele empezar un ataque utilizando estos datos DNS para obtener un diagrama u ocupación, de una red. r Los nombres de equipo y dominio DNS suelen indicar la función o ubicación de un dominio o equipo para ayudar a los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. r Un intruso se aprovecha del mismo principio DNS para aprender la función o ubicación de dominios y equipos en la red.

6 DNS: Vulnerabilidades, amenazas y ataques r Un ataque por servicio denegado se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red desbordando uno o varios servidores DNS de la red con consultas recursivas.

7 DNS: Vulnerabilidades, amenazas y ataques r Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzará su nivel máximo y el servicio del Servidor DNS dejará de estar disponible. r Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarán de estar disponibles para los usuarios de la red.

8 DNS: Vulnerabilidades, amenazas y ataques r La modificación de datos es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP válidas en paquetes IP que ha creado él mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una dirección IP válida de la red. r Esto se denomina comúnmente IP ficticia. Con una dirección IP válida (una dirección IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque.

9 DNS: Vulnerabilidades, amenazas y ataques r La redirección se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que él controle. r Un método de redirección incluye el intento de contaminar la caché DNS de un servidor DNS con datos DNS erróneos que pueden dirigir consultas futuras a servidores que controle el intruso. r Por ejemplo, si se realizó una consulta originalmente para ejemplo.microsoft.com y la respuesta de referencia proporcionó el registro de un nombre externo al dominio microsoft.com, como usuariomalintencionado.com, el servidor DNS utilizará los datos de la caché de usuario- malintencionado.com para resolver la consulta de dicho nombre. r La redirección puede realizarse siempre que el intruso disponga de acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones dinámicas no seguras.

10 El Sistema DNS esta compuesto por: r Un espacio de nombre jerárquico que permite garantizar la singularidad de un nombre en una estructura arbórea, como por ejemplo sistemas de archivos Unix. r Un sistema de servidores de distribución que permite que el espacio de nombre esté disponible. r Un sistema de cliente que permite "resolver" nombres de dominio, es decir, interrogar a los servidores para encontrar la dirección IP que corresponde a un nombre.

11 Espacio de nombre r La estructura del sistema DNS se basa en una estructura de arbórea en donde se definen los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior); esta estructura está conectada a un nodo raíz representado por un punto.

12 Servidores de nombres de dominio r Los equipos llamados servidores de nombres de dominio permiten establecer la relación entre los nombres de dominio y las direcciones IP de los equipos de una red. r Cada dominio cuenta con un servidor de nombre de dominio, llamado servidor de nombre de dominio principal, así como también un servidor de nombre de dominio secundario, que puede encargarse del servidor de nombre de dominio principal en caso de falta de disponibilidad. r Cada servidor de nombre de dominio está especificado en el servidor de nombre de dominio en el nivel superior inmediato, lo que significa que la autoridad sobre los dominios puede delegarse implícitamente. r El sistema de nombre es una arquitectura distribuida, en donde cada entidad es responsable de la administración de su nombre de dominio. Por lo tanto, no existe organización alguna que sea responsable de la administración de todos los nombres de dominio.

13 Espacio de nombre r La palabra "dominio" corresponde formalmente al sufijo de un nombre de dominio, es decir, la recopilación de las etiquetas de nodo de la estructura arbórea, con excepción del ordenador. r El nombre absoluto está relacionado con todas las etiquetas de nodo de una estructura arbórea, separadas por puntos y que termina con un punto final que se denomina la dirección FQDN (Nombre de Dominio totalmente calificado). La profundidad máxima de una estructura arbórea es 127 niveles y la longitud máxima para un nombre FQDN es 255 caracteres. La dirección FQDN permite ubicar de manera única un equipo en la red de redes. Por lo tanto, es.kioskea.net. es una dirección FQDN.

14 Resolución de nombres de dominio r El mecanismo que consiste en encontrar la dirección IP relacionada al nombre de un ordenador se conoce como "resolución del nombre de dominio". La aplicación que permite realizar esta operación (por lo general, integrada en el sistema operativo se llama "resolución". r Cuando una aplicación desea conectarse con un host conocido a través de su nombre de dominio (por ejemplo, "es.kioskea.net"), ésta interroga al servidor de nombre de dominio definido en la configuración de su red. De hecho, todos los equipos conectados a la red tienen en su configuración las direcciones IP de ambos servidores de nombre de dominio del proveedor de servicios. r Entonces se envía una solicitud al primer servidor de nombre de dominio (llamado el "servidor de nombre de dominio principal"). Si este servidor de nombre de dominio tiene el registro en su caché, lo envía a la aplicación; de lo contrario, interroga a un servidor de nivel superior (en nuestro caso un servidor relacionado con el TLD ".net"). El servidor de nombre de nivel superior envía una lista de servidores de nombres de dominio con autoridad sobre el dominio (en este caso, las direcciones IP de los servidores de nombres de dominio principal y secundario para cómofunciona.net). r Entonces el servidor de nombres de dominio principal con autoridad sobre el dominio será interrogado y devolverá el registro correspondiente al dominio del servidor (en nuestro caso www).

15 Mecanismo de seguridad DNS DNS puede configurarse para que se reduzcan los problemas de seguridad DNS comunes expuestos anteriormente La siguiente tabla muestra las cinco áreas principales que hay que atender al establecer la seguridad DNS. Áreas de Seguridad DNS r Espacio de nombres DNS: Incorpore seguridad DNS a su diseño de espacio de nombres DNS. r Servicio del Servidor DNS: Revise la configuración de seguridad predeterminada del servicio Servidor DNS y aplique las características de seguridad de Active Directory cuando el servicio Servidor DNS se esté ejecutando en un controlador de dominio. r Zonas DNS Revise la configuración de seguridad predeterminada de la zona DNS y aplique actualizaciones dinámicas seguras y características de seguridad de Active Directory cuando la zona DNS se incluya en un controlador de dominio.

16 Mecanismo de seguridad r Registros de recurso DNS: Revisar la configuración de seguridad predeterminada del registro de recursos [RR, ResourceRecord| DNS y aplique las características de seguridad de Active Directory cuando los registros de recursos DNS estén incluidos en un controlador de dominio. r Clientes DNS Controle las direcciones IP del servidor DNS que utilizan los clientes DNS. r Dar Tres niveles de seguridad DNS: Los siguientes tres niveles de seguridad DNS le ayudarán a comprender su configuración DNS actual y le permitirán aumentar la seguridad DNS de su organización.

17 Mecanismo de seguridad Seguridad de bajo nivel La seguridad de bajo nivel es una implementación DNS estándar sin precauciones de seguridad configuradas. Implemente este nivel de seguridad DNS únicamente en entornos de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no existan amenazas de conectividad externa. r La infraestructura DNS de su organización está completamente expuesta a Internet. r Todos los servidores DNS de su red realizan resolución DNS estándar. r Todos los servidores DNS están configurados con sugerencias de raíz dirigidas a los servidores raíz para Internet. r Todos los servidores DNS permiten transferencias de zona a cualquier servidor. r Todos los servidores DNS están configurados para atender en todas sus direcciones IP. r La prevención de contaminación de la caché se encuentra deshabilitada en todos los servidores DNS.

18 Mecanismo de seguridad Seguridad de nivel medio La seguridad de nivel medio utiliza las características de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active Directory. r La infraestructura DNS de su organización tiene una exposición a Internet limitada. r Todos los servidores DNS están configurados para utilizar reenviadores orientados a una lista específica de servidores DNS internos cuando no puedan resolver nombres de manera local. r Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en los registros de recursos de servidor de nombres (NS, Ñame Server| de sus zonas. r Los servidores DNS están configurados para atender en las direcciones IP especificadas. r La prevención de contaminación de la caché se encuentra habilitada en todos los servidores DNS. r La actualización dinámica no segura no se permite en ninguna zona DNS.

19 Mecanismo de seguridad Seguridad de alto nivel La seguridad de alto nivel utiliza la misma configuración que la de nivel medio y además utiliza las características de seguridad disponibles cuando el servicio del Servidor DNS se está ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active Directory. Además, la seguridad de alto nivel elimina por completo la comunicación DNS con Internet. Esta no es una configuración típica, aunque es la recomendada siempre que no sea necesaria la conectividad con Internet. r La infraestructura DNS de su organización no tiene comunicación con Internet a través de servidores DNS internos. r Su red utiliza una raíz y un espacio de nombres DNS internos, en la que toda la autoridad para zonas DNSes interna. r Los servidores DNS configurados con reenviadores sólo utilizan direcciones IP del servidor DNS interno. r Todos los servidores DNS limitan las transferencias de zona a direcciones IP especificadas. r Los servidores DNS están configurados para atender en las direcciones IP especificadas.

Descargar ppt "UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS)."

Presentaciones similares

Presentación: Rocío Tablado Martínez.

Presentación: Rocío Tablado Martínez.
ARQUITECTURA CLIENTE-SERVIDOR

ARQUITECTURA CLIENTE-SERVIDOR
SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher

SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.

Los servicios de red son la fundación de una red de trabajo en un ambiente de computadoras. Generalmente los servicios de red son instalados en uno o.
ESPACIO DE NOMBRES DE DOMINIO

ESPACIO DE NOMBRES DE DOMINIO
Registros de recursos DNS: - Formato general

Registros de recursos DNS: - Formato general
Servidores de nombres de dominio (DNS):

Servidores de nombres de dominio (DNS):
Transferencias de Zona:

Transferencias de Zona:
Servidores de nombres de dominio (DNS)

Servidores de nombres de dominio (DNS)
Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.
BASE DE DATOS BY: Julián Villar Vázquez.

BASE DE DATOS BY: Julián Villar Vázquez.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.

5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
DNS Pamela Millán Ana Laura Félix Teresa Treviño

DNS Pamela Millán Ana Laura Félix Teresa Treviño
DOMAIN NAME SYSTEM, SISTEMA DE RESOLUCIÓN DE NOMBRES). DNS.

DOMAIN NAME SYSTEM, SISTEMA DE RESOLUCIÓN DE NOMBRES). DNS.
Protocolo DNS Luis Villalta Márquez.

Protocolo DNS Luis Villalta Márquez.
Javier Rodríguez Granados

Javier Rodríguez Granados
PROCESO DE RESOLUCIÓN DE UN NOMBRE DE DOMINIO. El resolver o cliente DNS es la parte del sistema operativo encargada de resolver nombres de dominio cuando.

PROCESO DE RESOLUCIÓN DE UN NOMBRE DE DOMINIO. El resolver o cliente DNS es la parte del sistema operativo encargada de resolver nombres de dominio cuando.
Sustentante: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.

Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.
LOGO Not Another Dynamic DNS Claudia Codriansky / Francisco Castillo.

LOGO Not Another Dynamic DNS Claudia Codriansky / Francisco Castillo.

Presentaciones similares

Anuncios Google