Está en la página 1de 17

ESCUELA MILITAR DE INGENIERA

MCAL. ANTONIO JOS DE SUCRE


BOLIVIA


SERVIDOR DNS
(SISTEMA DE NOMBRE DE DOMINIO)
CARRERA :
INGENIERIA DE SISTEMAS
DOCENTE :
Ing. Patricia Lopez
INTEGRANTE :
MELISA TICONA MUJICA 7962326 cbba
CURSO :
8VO SEMESTRE


LA PAZ BOLIVIA



Servidor DNS en un CPD
1. Introduccin
Un servidor DNS proporciona resolucin de nombres para redes basadas en TCP/IP.
Es decir, hace posible que los usuarios de equipos cliente utilicen nombres en lugar
de direcciones IP numricas para identificar hosts remotos. Un equipo cliente enva
el nombre de un host remoto a un servidor DNS, que responde con la direccin IP
correspondiente. El equipo cliente puede entonces enviar mensajes directamente a la
direccin IP del host remoto. Si el servidor DNS no tiene ninguna entrada en su base
de datos para el host remoto, puede responder al cliente con la direccin de un
servidor DNS que pueda tener informacin acerca de ese host remoto, o bien puede
consultar al otro servidor DNS. Este proceso puede tener lugar de forma recursiva
hasta que el equipo cliente reciba las direcciones IP o hasta que se establezca que el
nombre consultado no pertenece a ningn host del espacio de nombres DNS
especificado.
El servidor DNS del sistema operativo Windows Server 2008 cumple con el conjunto
de solicitudes de comentarios (RFC) que definen y estandarizan el protocolo DNS.
Puesto que el servicio Servidor DNS es compatible con RFC y puede usar formatos de
registro de recursos y archivos de datos DNS estndar, puede funcionar correctamente
con la mayora de las implementaciones del servidor DNS, como las que usa el software
Berkeley Internet Name Domain (BIND).
2. Servidor de DNS
Domain Name System o DNS (en espaol: sistema de nombres de dominio)
es un sistema de nomenclatura jerrquica para computadoras, servicios o
cualquier recurso conectado a Internet o a una red privada. Este sistema asocia
informacin variada con nombres de dominios asignado a cada uno de los
participantes. Su funcin ms importante, es traducir (resolver) nombres
inteligibles para las personas en identificadores binarios asociados con los
equipos conectados a la red, esto con el propsito de poder localizar y
direccionar estos equipos mundialmente.

2.1 Tipos de servidores DNS
Primarios o maestros: Guardan los datos de un espacio de nombres
en sus ficheros
Secundarios o esclavos: Obtienen los datos de los servidores
primarios a travs de una transferencia de zona.
Locales o cach: Funcionan con el mismo software, pero no contienen
la base de datos para la resolucin de nombres. Cuando se les realiza
una consulta, estos a su vez consultan a los servidores DNS
correspondientes, almacenando la respuesta en su base de datos para
agilizar la repeticin de estas peticiones en el futuro continuo o libre.

2.2 Tipos de registros DNS
A = Address (Direccin) Este registro se usa para traducir nombres
de servidores de alojamiento a direcciones IPv4.
AAAA = Address (Direccin) Este registro se usa en IPv6 para traducir
nombres de hosts a direcciones IPv6.
CNAME = Canonical Name (Nombre Cannico) Se usa para crear
nombres de servidores de alojamiento adicionales, o alias, para los
servidores de alojamiento de un dominio. Es usado cuando se estn
corriendo mltiples servicios (como ftp y servidor web) en un servidor
con una sola direccin ip. Cada servicio tiene su propia entrada de DNS
(como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado
cuando corres mltiples servidores http, con diferente nombres, sobre el
mismo host. Se escribe primero el alias y luego el nombre real. Ej.
Ejemplo1 IN CNAME ejemplo2
NS = Name Server (Servidor de Nombres) Define la asociacin que
existe entre un nombre de dominio y los servidores de nombres que
almacenan la informacin de dicho dominio. Cada dominio se puede
asociar a una cantidad cualquiera de servidores de nombres.
MX (registro) = Mail Exchange (Registro de Intercambio de Correo)
Asocia un nombre de dominio a una lista de servidores de intercambio
de correo para ese dominio. Tiene un balanceo de carga y prioridad para
el uso de uno o ms servicios de correo.
PTR = Pointer (Indicador) Tambin conocido como 'registro inverso',
funciona a la inversa del registro A, traduciendo IPs en nombres de
dominio. Se usa en el archivo de configuracin del Dns reversiva.
SOA = Start of authority (Autoridad de la zona) Proporciona
informacin sobre el servidor DNS primario de la zona.
HINFO = Host INFOrmation (Informacin del sistema informtico)
Descripcin del host, permite que la gente conozca el tipo de mquina y
sistema operativo al que corresponde un dominio.
TXT = TeXT - ( Informacin textual) Permite a los dominios identificarse
de modos arbitrarios.
LOC = LOCalizacin - Permite indicar las coordenadas del dominio.
WKS - Generalizacin del registro MX para indicar los servicios que
ofrece el dominio. Obsoleto en favor de SRV.
SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio.
RFC 2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio,
protocolo, dominio completo, prioridad del servicio, peso, puerto y el
equipo completo. Esta es la sintaxis correspondiente:
Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo-
Completo
SPF = Sender Policy Framework - Ayuda a combatir el Spam. En este
registro se especifica cual o cuales hosts estn autorizados a enviar
correo desde el dominio dado. El servidor que recibe, consulta el SPF
para comparar la IP desde la cual le llega con los datos de este registro.
2.3 Centro de Proceso de Datos, CPD
Se denomina centro de procesamiento de datos (CPD) a aquella ubicacin
donde se concentran los recursos necesarios para el procesamiento de la
informacin de una organizacin. Centro de datos por su equivalente en ingls
data center.
Dichos recursos consisten esencialmente en unas dependencias debidamente
acondicionadas, computadoras y redes de comunicaciones.
Un Centro de Proceso de Datos (CPD) es el conjunto de recursos fsicos,
lgicos, y humanos necesarios para la organizacin, realizacin y control de las
actividades informticas de una empresa.
A la hora de realizar el diseo de un Centro de Proceso de Datos, la idea
inicial que se contempla es la del diseo de una sala de comunicaciones de
grandes dimensiones donde se van a ubicar potentes servidores, esta premisa
inicial, pone de manifiesto uno de los primeros condicionantes del diseo de
CPDs, el carcter crtico de los datos que se manejan, puesto que la mayora
de las empresas dependen de la disponibilidad, seguridad y redundancia de la
informacin que se almacena en sus servidores, la no disponibilidad de esta
informacin supone elevados costes para cualquier compaa, especialmente
en las que el departamento financiero tiene que funcionar ininterrumpidamente,
sin lentitud en el trfico de datos y donde sus transacciones deben estar
totalmente libres de errores.

Ejemplo
Una de las empresas de ms xito en Internet ha sido Google. Inici
como un buscador de la red y con su modelo de negocios (poniendo
anuncios patrocinados en los resultados de las bsquedas), fue
creciendo poco a poco. Hoy en da Google trabaja en muchos frentes y
es una de las compaas ms interesantes en lo que se refiere a
cmputo, a lo que hacen y a lo que desarrollan.

Una empresa de este tamao debe tener miles de servidores cuntos
habr en la red de Google? Algunos se aventuran a decir que son ms
de un milln, pero el uso de energa de la empresa sugiere que
probablemente estn corriendo unos 900,000 servidores.

Google jams dice cuantos servidores tienen corriendo en sus centros
de datos. Los nuevos estimados estn basados en la informacin que la
compaa ha compartido con el profesor de la Universidad de Stanford,
Jonathan Koomey, quien ha dado a conocer un reporte actualizado
sobre el uso en los centros de datos de Google.
3. Tipos de Riesgos para un servidor DNS
3.1 Vulnerabilidades
Cach Poisoning

servidor DNS y hacerle creer que recibi informacin autntica y vlida
El servidor luego cachea esa informacin y la utiliza para responder otras
consultas hasta la duracin el TTL de los RRs cacheados
Robo de informacion

Estas vulnerabilidades se producen debido a una libre interpretacin a la hora
de implementar este protocolo. DNS utiliza mensajes con un formato
determinado, que son interpretados por el mecanismo de resolucin de nombre
a direccin IP. Un mensaje puede ser una bsqueda o una respuesta. Por la
implementacin propia del protocolo, en determinadas circunstancias, una
respuesta puede solicitar otra respuesta. Ello puede causar un flujo de
mensajes capaces de generar un ataque de denegacin de servicio (DoS).

Con la herramienta PorkBind podemos analizar vulnerabilidades que afectan
a la seguridad de servidores DNS. Una vez descubierta la vulnerabilidad nos
indica cmo solucionarla con su correspondiente link de CVSS v2.0 y OVAL.
Entre las vulnerabilidades que chequea se encuentra la popular vulnerabilidad
reportada por Dan Kaminsky. Las vulnerabilidades que detecta son:

Envenenamiento de la cache.
Denegacin de servicios va maxdname.
Desbordamiento de buffer a travs de consulta inversa.
Desbordamiento de buffer a travs de TSIG.
Desbordamiento de buffer a travs de nslookup.
Acceso a travs de variables de entorno.
Desbordamiento de buffer a travs de nslookup.
Denegacin de servicio a travs de dns_message_findtype.
Modificacin del puntero nulo SIG RR.
Denegacin de servicios.
Denegacin de servicios va puntero nulo SIG RR.
Ejecucin de cdigo arbitrario.
Envenenamiento de la cache.
Envenenamiento de la cache.
Envenenamiento de la cache (de Dan Kaminsky).

3.2 Amenazas
stas son las formas comunes en que los intrusos pueden amenazar su
infraestructura DNS:
La representacin es el proceso mediante el cual un intruso obtiene los
datos de zona DNS para obtener los nombres de dominio DNS, nombres
de equipo y direcciones IP de recursos de red importantes. Un intruso
suele empezar un ataque utilizando estos datos DNS para obtener un
diagrama u ocupacin, de una red.
Un ataque por servicio denegado se produce cuando un intruso
intenta denegar la disponibilidad de los servicios de red desbordando
uno o varios servidores DNS de la red con consultas recursivas. Cuando
un servidor DNS se desborda con consultas, el uso de la CPU alcanzar
su nivel mximo y el servicio del Servidor DNS dejar de estar
disponible. Sin un servidor DNS completamente operativo en la red, los
servicios de red que utilicen DNS dejarn de estar disponibles para los
usuarios de la red.
La modificacin de datos es un intento del intruso (que ha ocupado
una red mediante DNS) de utilizar direcciones IP vlidas en paquetes IP
que ha creado l mismo, de manera que proporciona a estos paquetes
la apariencia de proceder de una direccin IP vlida de la red. Esto se
denomina comnmente IP ficticia. Con una direccin IP vlida (una
direccin IP dentro del rango de direcciones IP de una subred), el intruso
puede tener acceso a la red y destruir datos o realizar otro tipo de
ataque.
La redireccin se produce cuando un intruso puede redirigir consultas
de nombres DNS a servidores que l controle. Un mtodo de redireccin
incluye el intento de contaminar la cach DNS de un servidor DNS con
datos DNS errneos que pueden dirigir consultas futuras a servidores
que controle el intruso.

Por ejemplo, si se realiz una consulta originalmente para
ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de
un nombre externo al dominio microsoft.com, como usuario-
malintencionado.com, el servidor DNS
utilizar los datos de la cach de usuario-malintencionado.com
para resolver la consulta de dicho nombre. La redireccin puede
realizarse siempre que el intruso disponga de acceso de escritura
a datos DNS, como ocurre, por ejemplo, con las actualizaciones
dinmicas no seguras.


3.3 Ataques
Algunos de los ataques ms comunes que se presentan en un servicio de
DNS son los siguientes:
Ataque de negacin del servicio (DOS): este ataques se presenta
cuando el servidor DNS se ve inundado con un nmero muy grande
de requerimientos reconocidos que pueden eventualmente forzar al
procesador a ser usado ms all de sus capacidades recordemos que
un procesador Pentium dos de 700 MHz puede soportar hasta 10,000
consultas por segundo; de esta manera se podra evitar que el
servidor de DNS siga prestando servicio de manera normal este tipo
de ataque no requiere el una gran cantidad de conocimiento por parte
del atacante este tipo es extremadamente efectivo, llegando en casos
extremos a provocar el reinicio del servidor de red o deteniendo por
completo la resolucin de nombres, la imposibilidad de resolver
nombres por medio del servidor de DNS puede evitar el acceso de los
usuarios a cualquier recurso de Internet, tal como, correo electrnico
o pginas de hipertexto, en el caso de los sistemas Windows 2000 y
2003 que funcionan con directorio activo evita la autenticacin de los
usuarios y por tanto no permite el acceso a cualquier recurso de red.

Footprinting: los intrusos pueden lograr una gran cantidad de
informacin acerca de la infraestructura de la red interceptando los
paquetes de DNS para de esta manera lograr identificar sus objetivos,
capturando el trfico de DNS los intrusos pueden aprender acerca del
sistema de nombres del dominio, los nombres de las mquinas, y el
esquema de IP que se emplea en una red. Esta informacin de red
revela la funcionalidad de ciertas mquinas presentes en la misma
permitiendo al intruso decidir cules son los objetivos ms fructferos
y otra forma de atacarlos.

IPSoopfing: los intrusos pueden utilizar una IP legtima a menudo
obtenida por medio del ataque anterior para ganar acceso a la red a
sus servicios para enviar paquetes que pueden provocar daos dentro
de la red a nombre de una mquina que no hace parte de la red,
engaando al sistema identificndose con una IP de que no les
corresponde a este proceso se le llama Spoofing. Esta manera
pueden pasar diferentes filtros estn diseados para bloquear el
trfico de IP desautorizadas dentro de la red. Una vez han logrado
acceso a los computadores y servicios usando esta tcnica el
atacante puede causar gran cantidad de daos pues dentro de la red
se supone que la IP les pertenece a segmento local.

La redireccin se produce cuando un intruso puede redirigir
consultas de nombres DNS a servidores que l controle. Un mtodo
de redireccin incluye el intento de contaminar la cach DNS de un
servidor DNS con datos DNS errneos que pueden dirigir consultas
futuras a servidores que controle el intruso. Por ejemplo, si se realiz
una consulta originalmente para ejemplo.microsoft.com y la respuesta
de referencia proporcion el registro de un nombre externo al dominio
microsoft.com, como usuariomalintencionado.com, el servidor DNS
utilizar los datos de la cach de usuario-malintencionado.com para
resolver la consulta de dicho nombre. La redireccin puede realizarse
siempre que el intruso disponga de acceso de escritura a datos DNS,
como ocurre, por ejemplo, con las actualizaciones dinmicas no
seguras.

4. Tres niveles de seguridad DNS
En las secciones siguientes se describen los tres niveles de seguridad DNS.
Seguridad de nivel bajo
La seguridad de nivel bajo es una implementacin DNS estndar sin
medidas de seguridad configuradas. Implemente este nivel de seguridad
DNS nicamente en entornos de red en los que no preocupa la integridad de
los datos DNS o bien en una red privada en la que no haya amenazas de
conectividad externa. La seguridad DNS de nivel bajo tiene las siguientes
caractersticas:
La infraestructura DNS de la organizacin se expone completamente
a Internet.
Todos los servidores DNS de la red llevan a cabo la resolucin DNS
estndar.
Todos los servidores DNS se configuran con sugerencias de raz que
sealan a los servidores raz de Internet.
Todos los servidores DNS permiten las transferencias de zona a
cualquier servidor.
Todos los servidores DNS estn configurados para escuchar en todas
sus direcciones IP.
La funcin para evitar la contaminacin de la cach est deshabilitada
en todos los servidores DNS.
La actualizacin dinmica se permite en todas las zonas DNS.
El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53
est abierto en el firewall de la red, tanto para direcciones de origen
como de destino.
Seguridad de nivel medio
La seguridad de nivel medio usa las caractersticas de seguridad DNS
disponibles sin ejecutar servidores DNS en controladores de dominio ni
almacenar zonas DNS en los Servicios de dominio de Active Directory (AD
DS). La seguridad DNS de nivel medio tiene las siguientes caractersticas:
La infraestructura DNS de la organizacin tiene una exposicin
limitada a Internet.
Todos los servidores DNS estn configurados para usar reenviadores
que apunten a una lista especfica de servidores DNS internos cuando
no puedan resolver los nombres de forma local.
Todos los servidores DNS limitan las transferencias de zona a
servidores incluidos en los registros de recursos del servidor de
nombres (NS) de sus respectivas zonas.
Los servidores DNS se configuran para escuchar en direcciones IP
especificadas.
La funcin para evitar la contaminacin de la cach est habilitada en
todos los servidores DNS.
La actualizacin dinmica no segura no est permitida en ninguna
zona DNS.
Los servidores DNS internos se comunican con los servidores DNS
externos mediante el firewall con una lista limitada de direcciones de
origen y de destino permitidas.
Los servidores DNS externos delante del firewall se configuran con
sugerencias de raz que apuntan a los servidores raz de Internet.
Todas las resoluciones de nombres de Internet se realizan con
puertas de enlace y servidores proxy.
Seguridad de nivel alto
La seguridad de nivel alto usa la misma configuracin que la seguridad de
nivel medio. Tambin usa las caractersticas de seguridad disponibles
cuando el servicio Servidor DNS se ejecuta en un controlador de dominio y
las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel
alto elimina completamente la comunicacin DNS con Internet. No es la
configuracin tpica, pero se recomienda cuando no se requiere conectividad
a Internet. La seguridad DNS de nivel alto tiene las siguientes
caractersticas:
En la infraestructura DNS de la organizacin, los servidores DNS
internos no tienen comunicacin con Internet.
La red usa un espacio de nombres y una raz DNS de carcter
interno; toda la autoridad de las zonas DNS es interna.
Los servidores DNS que se configuran con reenviadores slo usan
direcciones IP de servidor DNS interno.
Todos los servidores DNS limitan las transferencias de zona a las
direcciones IP especificadas.
Los servidores DNS se configuran para escuchar en direcciones IP
especificadas.
La funcin para evitar daos en la memoria cach est habilitada en
todos los servidores DNS.
Los servidores DNS internos se configuran con sugerencias de raz
que sealan a los servidores DNS internos que hospedan la zona raz
del espacio de nombres interno.
Todos los servidores DNS se ejecutan en controladores de dominio.
Se configura una lista de control de acceso discrecional (DACL) en el
servicio Servidor DNS para permitir que slo usuarios especficos
realicen tareas administrativas en el servidor DNS.
Todas las zonas DNS se almacenan en AD DS. La lista DACL se
configura para permitir que slo usuarios especficos puedan crear,
eliminar o modificar zonas DNS.
Las listas DACL se configuran en registros de recursos DNS para
permitir que slo usuarios especficos puedan crear, eliminar o
modificar datos DNS.
La actualizacin dinmica segura se configura para las zonas DNS,
excepto para las zonas raz y de nivel superior, que no permiten
ningn tipo de actualizacin dinmica.
4. Medidas que se puede implementar contra los ataques
Para evitar los ataques anteriores existen numerosas tcnicas que para proteger servidor
DNS y su espacio de nombres y lograr que su servicio se mantenga todo el tiempo
funcionando de manera consistente. Con este como en la mayora de los problemas de
seguridad, es un problema cultural, un ejemplo de esto es la regulacin y medidas para
asegurar el servidor DNS y no dejarlo abierto cualquier tipo de acceso desde Internet e
incluso permitiendo la transferencia de zonas actualizaciones dinmicas con cualquier otro
computador esto deja servidor vulnerable a cualquier tipo de ataque descrito anteriormente.
Por otra parte se puede cerrar todo el trfico de su red al mundo exterior denegando todo
acceso Internet y creando nicamente un punto de acceso al sistema para el servidor , en el
caso de red Windows 2000 o 2003, con el directorio activo limitando el acceso administrativo
a los servidores de DNS evitando todas las comunicaciones de DNS. Estas medidas
aseguran el servidor DNS para tomar la mayora de los trficos pero pueden comprometer la
funcionalidad del mismo en la red impidiendo al usuario para el acceso de Internet o de
resolver nombres que no pertenezcan al directorio activo o redes externas. Existen
oportunidades en las que este tipo de medidas radicales pueden llegar a ser una garanta
pero usted debe balancear los requerimientos de seguridad contra los requerimientos del
funcionamiento de su red.
Algunas de las medidas que se puede implementar dentro de su red para asegurar en parte
o totalmente el servidor de DNS son las siguientes:
Proveer servicio de DNS redundante: esto significa colocar ms de un solo
servidor de DNS para la resolucin de nombres dentro de su red esto puede
implicar una mayor cantidad de recursos inicialmente pero la larga es la solucin
ms eficaz y ms escalable que se puede representar lo que en el caso de un
servidor DNS caer, el servidor redundante o secundario a permitir la resolucin de
nombres de manera automtica sin necesidad intervencin por parte del
administrador.
Doble configuracin del cliente: se recomiendan en cada uno de los clientes
colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la
de su proveedor de acceso Internet de esta manera est garantizando que su
servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma
remota a travs de el sistema de su proveedor de acceso a Internet.
Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red
interna: esta estrategia le permite controlar el acceso a los recursos de forma
interna y el forma externa en la red perimetral comprendida entre los algunos
tambin conocida como red desmilitarizada (DMZ), as se van a resolver todos los
requerimientos externos en la zona externa es decir todos aquellos que sobrepasen
el mbito de su red local bien sea por parte clientes internos o de clientes externos a
la misma, mientras que el sistema de resolucin de nombres para su red de rea
local va estar siendo respaldado por un servidor interno que eleva permitir mantener
actualizado y seguro el esquema direcciones IP's sin tener consultas recursos
externos.
Control de interfases: Otra forma de limitar el acceso a su servidor de DNS es
limitando el acceso a consultas por medio de el control de las interfaces de red, es
decir, permitiendo la resolucin de DNS slo por una de las interfaces de su servidor
de sta manera la interfase que de la red interna hacerla que a permitir la resolucin
de nombres de dicha red mientras que la interfase externa no a permitir resolucin
de nombres de tipo DNS.
Uso de directorio activo: Aunque es posible el footprint forma de la captura de
trfico de resolucin, una un mtodo mucho ms eficiente para el atacante es
interceptando el trfico de replicacin. Por medio de la captura de paquetes de
trfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas
zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el trfico
replicacin de la zona es instalar todos sus servidores de DNS en un controlador
dominio en familias Windows 2000 y 2003 y guardando toda informacin de sus
zonas en el directorio activo. El directorio activo entonces se convierten responsable
parada realizar todo el trfico replicacin en su zona. Pero el trfico al directorio
activo se realiza por medio autenticacin y mutua que le permita de evitar la
suplantacin por parte de un intruso y adicionalmente todo el trfico de directorio
activo se enva encriptado lo que previene que cualquier persona pueda capturar
paquetes leerlos o manipular los datos; finalmente el acceso al controlador dominio
est restringido por las polticas que usted efectivamente ha implantado para
proteger toda informacin dentro de su directorio.
Limitar trafico por IP : Una forma de proteger las transferencia de zonas es
especificando la IP de los servidores de DNS que participan en la transferencia de
zonas esta manera usted puede limitar a dichos servidores el acceso replicacin y
un intruso va tener una labor mucho ms difcil para lograr el acceso replicacin.
Encriptar el trafico DNS: Aunque la tcnica que fue prevenir el acceso
transferencia de zona efectivamente no protegen los paquetes que estn viajando
hacia los servidores un intruso con un capturador de paquetes de sistemas de
Windows pueda capturar los datos de transferencia de zona leer los y posiblemente
modificarlos con herramientas ms avanzadas se puede configurar su servidor DNS
para Encriptar todo el trfico utilizando protocolo de IPSec o la implementacin de
VPN de su sistema operativo.
Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en
su servidor DNS consiste en prevenir la corrupcin del cach sta se presenta por la
manipulacin parte de los intrusos de dicha informacin para su beneficio propio; en
Windows 2003 el servidor incluye la caracterstica de prevenir la corrupcin de
cache se activa as:
o dentro del cuadro de propiedades del servidor DNS haga clic en avanzado
o
luego seleccione asegurar cach contra corrupcin es un cuadro de Checkbox
Dentro de la opciones del servidor, esta caracterstica puede prevenir que el
servidor haga cach de recursos que no son relativos al informacin que ha recibido
por mensajes de respuesta.
Autorizar las actualizaciones dinmicas de DHCP: Asegura las actualizaciones
dinmicas es otra labor bastante importante dentro del sistema, esas
actualizaciones se realiza a travs del sistema DHCP, el cual entregar direcciones
de configuracin inicial a los clientes para prevenir las actualizaciones dinmicas no
autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio
activo esta labor es relativamente simple de realizar por medio de clic derecho slo
le el nombre del servidor en
la consola del DHCP y seleccionar autorizar.
La normativa aplicada en servidores de DNS
Bsandonos en la ISO 27001 como marco de normas y los requerimientos de
las PCI-DSS como marco de aplicacion terminamos con 12 requerimientos de
seguridad que debemos cumplir para tener una politica de seguridad
garantizada en nuestro servidor.
Estos requerimientos a nivel general son:
R1: Instalar y mantener una configuracion de firewall para mantener
los datos.
R2: No usar las contraseas y otros parametros de seguridad incluidas
por defecto por los proveedores del sistema.
R3: Proteger los datos almacenados.
R4: Encriptar la transmisin de datos que circulan por redes pblicas
o abiertas.
R5: Programa de administracion de vulnerabilidades.
R6: Desarrollar y mantener apliaciones y sistemas seguros.
R7: Restringir el acceso a los datos solo a las personas que necesitan
saber.
R8: Asignar una unica identificacion a cada persona con acceso al
computador
R9: Restringir el acceso fsico a los datos.
R10: Realizar un seguimiento y monitoreo de todo el acceso a los
recursos de red y a los datos del sistema.
R11: Evaluar regularmente procesos y sistemas de seguridad.
R12: Mantener una politica que aborde la seguridad de la informacion
para los empleados y contratistas.

ISO 3166-1 alfa-2, sistema de cdigos de dos letras. Tiene muchas aplicaciones, la ms
notoria en los dominios de nivel superior geogrfico de Internet. Normalizaciones derivadas
de este ltimo cdigo son:
ISO 3166-2, cdigos referidos a subdivisiones tales como estados y provincias.
ISO 3166-3, sustitutos de los cdigos del sistema alpha-2 que han quedado
obsoletos.
ISO 4217, cdigos para unidades monetarias.
Ejemplos de nombres de dominio de nivel superior
.ar, para servicios de Argentina
.asia, la regin de Asia
.biz prevista para ser usado por negocios.
.bo, para servicios de Bolivia
.cat, para pginas relacionadas con la cultura e idioma cataln.
.cl, para servicios de Chile
.co, para servicios de Colombia
.cn, para servicios de China
.com, son los dominios ms extendidos en el mundo. Sirven para cualquier tipo de
pgina web, temtica.
.cr, para servicios de Costa Rica
.cu, para servicios de Cuba
.do, para servicios de Repblica Dominicana
.ec, para servicios de Ecuador
.edu, para servicios de Educacin
.es, para servicios de Espaa
.eu, para pases de Europa
.fm, para pginas del pas Estados Federados de Micronesia, pero usado tambin
para estaciones de radio de frecuencia modulada
.fr, para servicios de Francia
.gal, para pginas relacionadas con la cultura y lengua (Gallego) de la comunidad
autnoma de Galicia, Espaa.
.gov y .gob, para gobierno y entidades pblicas
Lista de configuracin e instalacin de servidores web y correo
Norma Boliviana NB/ISO/IEC 18028-4
Servidor Web Servidor de correo
1 Instalacin segura del servidor web
Reabastecer la aplicacin del servidor de
correo
2
Instalar el software del servidor en un host
dedicado
Instalar el software del servidor en un host
dedicado
3
Instara los servicios mnimos de internet
requeridos
Instalara los servicios mnimos de internet
requeridos
4
Aplicar parches o actualizaciones para
corregir vulnerabilidades conocidas
Aplicar cualquier parches o actualizaciones
para corregir vulnerabilidades conocidas
5
Crear un disco fsico o particin lgica
dedicado(Separado del S.O. y de la
aplicacin del servidor)para el contenido
web
Reservar o desactivar todos los servicios
instalados para la aplicacin del servidor de
correo que no se requiere
6
Remover o desactivar todos los servicios
instalados para la aplicacin del servidor de
correo que no se requiere
Reservar toda documentacin del vendedor
desde el servidor
7
Remover toda documentos scripts y
cdigos ejecutables
Aplicar plantillas de seguridad adeccuadas o
escrituras endurecida al servidor
8
Eliminar toda la documentacin del
vendedor desde el servidor
reconfigurar el banner del servicio SMTP, POP
e IMAP
9
Aplicar plantillas de seguridad o scripts de
dureza adecuados para el servidor
Desactivar comandos de correo de correo
peligrosos e innecesarios
10 reconfigurar el banner del servicio HTTP
Configurar el sistema operativo y los controles
de acceso al servidor de correo
11
Configurar controles de acceso del sistema
operativo de host de servicio y los
controles de acceso al servidor de correo
Limitar el acceso de la aplicacin servidor de
correo a un subconjunto de recursos
computacionales
6. Bibliografa
https://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_d
e_Normalizaci%C3%B3n
http://technet.microsoft.com/es-
es/library/cc753635%28v=ws.10%29.aspx
http://es.wikipedia.org/wiki/IP
http://es.wikipedia.org/wiki/SERVIDOR-DNS
Norma Bolivia IBNORCA