SISTEMA DE DOMINIO DE NOMBRES DNS

En Internet los host se nombran usando el mecanismo del sistema de Dominio de

Nombres (Domine Name System DNS). Este sistema, que provee un nombre simblico
a los host, es usado indirectamente por la mayora de los servicios de aplicacin debido a
que los usuarios normalmente se refieren al host con su nombre de DNS. Por ejemplo, un
usuario que desee empezar una sesin TELNET con su computador puede usar el
siguiente comando:

telnet archie.ans.net
Trying 147.225.1.2...
Connected to nis.ans.net.
login:

La respuesta inmediata desde la sesin TELNET es la siguiente:
Trying 147.225.1.2...

En este caso el software TCP/IP traslad el nombre del host archie.ans.net a la direccin
IP de 32 bits igual a: 147.225.1.2. Esta traduccin fue hecha por el DNS, tal como vemos
en la figura.




El TCP/IP se configura para usar el DNS para resolver nombres. Cuando una aplicacin
TCP/IP encuentra el nombre de un computador, la aplicacin enva una consulta al
resolvedor de nombres para traducir (convertir) el nombre en una direccin IP. En muchos
sistemas el resolvedor de nombres puede estar en la misma estacin de trabajo donde se
emite la consulta. El resolvedor de nombres se implementa generalmente como un
conjunto de bibliotecas de rutinas del sistema. Si ste no puede encontrar la respuesta, le
enva la consulta a otro servidor de nombres que conozca. Tpicamente el servidor de
nombres se encuentra dentro de la misma red de la estacin.

El sistema DNS se basa en un comportamiento de tipo consulta/respuesta y usa como
medio de transporte el protocolo UDP, por ser ste ms adecuado para aplicaciones
basadas en consulta/respuesta ya que no es crtico establecer y mantener una conexin
para transmitir datos.

El protocolo TCP tambin puede usarse para este tipo de aplicaciones, pero en caso de
una nica consulta muy ocasional puede ser excesiva la sobrecarga de establecer y
terminar una conexin.

En el ejemplo TELNET descrito en esta seccin, un servicio de aplicacin usa el DNS
para resolver el nombre DNS con su direccin IP equivalente. Esta resolucin de nombre
es el propsito principal del DNS, proporcionando la correlacin (mapping) entre el
nombre simblico DNS y la direccin IP. El DNS tambin se usa para especificar cul es
el servidor de correo que maneja las direcciones de correo electrnico.

La implementacin ms utilizada de DNS es el servidor BIND (Berkeley Internet Domain
Name), que estaba inicialmente disponible sobre el BSD Unix y ahora est disponible en
la mayor parte de plataformas UNIX. Sobre los sistemas UNIX, el BIND se llama a
menudo programa named (name daemon).

Los nombres de host se muestran normalmente separados con puntos, como se vio en la
direccin de archie.ans.net. Este tipo de nombre usa una convencin del tipo rbol
jerrquico. En la parte superior del rbol esta la raz. Debido a que todos los rboles
tienen una misma raz comn, el punto (.) se omite cuando se especifica el nombre
jerrquico en las aplicaciones TCP/IP.

Debajo del dominio de raz estn los dominios de alto nivel, tal como se ve en la figura.

Nombres jerrquicos en el DNS:






Esto refleja cmo se organizan los nombres, cuyos ejemplos se aprecian en la tabla.
Ejemplos de algunos dominios de alto nivel:















Las designaciones de dos letras se asignan a un pas conforme a las normas del
ITU y la norma ISO-3166 (excepto para Gran Bretaa la cual usa UK en vez de GB
para su designacin). stas son las mismas designaciones de nacionalidad que se
emplean para especificar los objetos de pases en los servicios de directorio de
NETWARE (NetWare Directory Services NDS).
Debajo de los dominios de alto nivel estn los dominios de nivel intermedio. Cada
nombre se separa de otro con un punto, siendo indiferente si se escribe con
maysculas o minsculas. La longitud de un nombre de dominio completo no puede
exceder de 255 caracteres. Ejemplo:
archie.ans.net

En archie.ans.net el nombre del host es archie, el cual est en el dominio ans.net. Si
otro host tiene el nombre de sparky y tambin se encuentra en el dominio ans.net,
entonces su nombre completamente calificado (Fully Qualified Name FQN) sera el
siguiente:
sparky.ans.net

Muchos de los nombres intermedios se refieren a los nombres de organizaciones, las
cuales son libre de definir internamente sus dominios. Si es as, ellas debern implementar
servicios apropiados de dominios de nombre para resolver estos subdominios. Por
ejemplo, consideremos la organizacin SCS, a la cual se le otorga el siguiente dominio de
nombre:
SCS.COM

Si esta organizacin tiene redes separadas para sus sectores de marketing y de
investigacin, puede definir tres subdominios nombrados CORP, MKTG y RESCH, y
proveer uno o varios servidores DNS para resolver los nombres dentro de sus redes. Los
dominios podran ser como sigue:

RESCH.SCS.COM
CORP.SCS.COM
MKTG.SCS.COM

Aunque no se requiere un servidor DNS para cada dominio, es comn tener uno o ms
servidores para cada dominio. En la figura 21.1 puede haber varios servidores DNS para
el dominio raz. Los servidores debern conocer los nombres de los dominios de nivel alto
tal como: COM, EDU, MIL, ORG y NET. Existen varios servidores de nombre que
administran los dominios de nombres en el dominio de raz. La tabla refiere algunos de los
servidores de dominio de raz:





Pueden emplearse varios servidores DNS para un dominio a fin de hacer balanceo de
carga, evitar trfico innecesario a la red y tener confiabilidad si fallara uno de ellos.
El dominio COM puede tener uno o ms servidores DNS y, dentro de este dominio, un
subdominio como IBM.COM tendr sus propios servidores DNS. Los host dentro del
dominio consultan al servidor local DNS para resolver los nombres. Ejemplo: El
computador WORLD.STD.COM consulta al servidor DNS por el dominio STD.COM para
hallar la direccin IP del host FTP.NOVELL.COM o la direccin IP de ATHENA.SCS.ORG.
Resuelta la consulta, los resultados se guardan localmente en la memoria cach por un
lapso configurable.
Los servidores DNS para un dominio requieren resolver nombres de los host de sus
dominios.

Un servidor secundario DNS de dominio debe conocer la direccin IP del servidor primario
en el dominio que el servidor secundario puede contactar para resolver una consulta de
nombre. Un servidor DNS tambin debe conocer la direccin IP del servidor DNS padre.

El servidor DNS recibe las consultas en la puerta UDP nmero 53, usando el protocolo
UDP.


Amenazas para la seguridad DNS

stas son las formas comunes en que los intrusos pueden amenazar su infraestructura
DNS:
La ocupacin es el proceso mediante el cual un intruso obtiene los datos de zona DNS
para obtener los nombres de dominio DNS, nombres de equipo y direcciones IP de
recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos
DNS para obtener un diagrama u ocupacin, de una red. Los nombres de equipo y
dominio DNS suelen indicar la funcin o ubicacin de un dominio o equipo para ayudar a
los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. Un intruso
se aprovecha del mismo principio DNS para aprender la funcin o ubicacin de dominios y
equipos en la red.


Un ataque por servicio denegado

Se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red
desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un
servidor DNS se desborda con consultas, el uso de la CPU alcanzar su nivel mximo y el
servicio del Servidor DNS dejar de estar disponible. Sin un servidor DNS completamente
operativo en la red, los servicios de red que utilicen DNS dejarn de estar disponibles
para los usuarios de la red.


La modificacin de datos

Es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones
IP vlidas en paquetes IP que ha creado l mismo, de manera que proporciona a estos
paquetes la apariencia de proceder de una direccin IP vlida de la red. Esto se denomina
comnmente IP ficticia. Con una direccin IP vlida (una direccin IP dentro del rango de
direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o
realizar otro tipo de ataque.






La redireccin

Se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que
l controle. Un mtodo de redireccin incluye el intento de contaminar la cach DNS de un
servidor DNS con datos DNS errneos que pueden dirigir consultas futuras a servidores
que controle el intruso. Por ejemplo, si se realiz una consulta originalmente para
ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de un nombre
externo al dominio microsoft.com, como usuariomalintencionado.com, el servidor DNS
utilizar los datos de la cach de usuario-malintencionado.com para resolver la consulta
de dicho nombre. La redireccin puede realizarse siempre que el intruso disponga de
acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones
dinmicas no seguras.


Ventajas del DNS

Desaparece la carga excesiva en la red y en los host, ahora la informacin est distribuida
por toda la red, al tratarse de una BBDD distribuida.

No hay Duplicidad de Nombres, el problema se elimina debido a la existencia de dominios
controlados por un nico administrador (puede haber nombres iguales pero en dominios
diferentes).

Consistencia de la Informacin; ahora la informacin que est distribuida es actualizada
automticamente sin intervencin de ningn administrador.


Seguridad DNS

Espacio de nombres DNS: Incorpore seguridad DNS a su diseo de espacio de nombres
DNS.

Servicio del Servidor DNS: Revise la configuracin de seguridad predeterminada del
servicio Servidor DNS y aplique las caractersticas de seguridad de Active Directory
cuando el servicio Servidor DNS se est ejecutando en un controlador de dominio.

Zonas DNS: Revise la configuracin de seguridad predeterminada de la zona DNS y
aplique actualizaciones dinmicas seguras y caractersticas de seguridad de Active
Directory cuando la zona DNS se incluya en un controlador de dominio.


Registros de recurso DNS: Revisar la configuracin de seguridad predeterminada del
registro de recursos [RR, ResourceRecord| DNS y aplique las caractersticas de seguridad
de Active Directory cuando los registros de recursos DNS estn incluidos en un
controlador de dominio.

Clientes DNS: Controle las direcciones IP del servidor DNS que utilizan los clientes DNS.
Para obtener ms informacin vea Proteger los clientes DNS.



Tres niveles de seguridad DNS:

Seguridad de bajo nivel

La seguridad de bajo nivel es una implementacin DNS estndar sin precauciones de
seguridad configuradas. Implemente este nivel de seguridad DNS nicamente en entornos
de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no
existan amenazas de conectividad externa.

La infraestructura DNS de su organizacin est completamente expuesta a Internet.

Todos los servidores DNS de su red realizan resolucin DNS estndar.

Todos los servidores DNS estn configurados con sugerencias de raz dirigidas a los
servidores raz para Internet.

Todos los servidores DNS permiten transferencias de zona a cualquier servidor.

Todos los servidores DNS estn configurados para atender en todas sus direcciones IP.

La prevencin de contaminacin de la cach se encuentra deshabilitada en todos los
servidores DNS.


Seguridad de nivel medio

La seguridad de nivel medio utiliza las caractersticas de seguridad DNS disponibles sin
ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active
Directory.

La infraestructura DNS de su organizacin tiene una exposicin a Internet limitada.

Todos los servidores DNS estn configurados para utilizar reenviadores orientados a una
lista especfica de servidores DNS internos cuando no puedan resolver nombres de
manera local.

Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en
los registros de recursos de servidor de nombres (NS, ame Server| de sus zonas.

Los servidores DNS estn configurados para atender en las direcciones IP especificadas.

La prevencin de contaminacin de la cach se encuentra habilitada en todos los
servidores DNS.

La actualizacin dinmica no segura no se permite en ninguna zona DNS.


Seguridad de alto nivel

La seguridad de alto nivel utiliza la misma configuracin que la de nivel medio y adems
utiliza las caractersticas de seguridad disponibles cuando el servicio del Servidor DNS se
est ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active
Directory. Adems, la seguridad de alto nivel elimina por completo la comunicacin DNS
con Internet. Esta no es una configuracin tpica, aunque es la recomendada siempre que
no sea necesaria la conectividad con Internet.

La infraestructura DNS de su organizacin no tiene comunicacin con Internet a travs de
servidores DNS internos.

Su red utiliza una raz y un espacio de nombres DNS internos, en la que toda la autoridad
para zonas DNS es interna.

Los servidores DNS configurados con reenviadores slo utilizan direcciones IP del
servidor DNS interno.

Todos los servidores DNS limitan las transferencias de zona a direcciones IP
especificadas.

Los servidores DNS estn configurados para atender en las direcciones IP especificadas.