En Internet los host se nombran usando el mecanismo del sistema de Dominio de
Nombres (Domine Name System DNS). Este sistema, que provee un nombre simblico a los host, es usado indirectamente por la mayora de los servicios de aplicacin debido a que los usuarios normalmente se refieren al host con su nombre de DNS. Por ejemplo, un usuario que desee empezar una sesin TELNET con su computador puede usar el siguiente comando:
telnet archie.ans.net Trying 147.225.1.2... Connected to nis.ans.net. login:
La respuesta inmediata desde la sesin TELNET es la siguiente: Trying 147.225.1.2...
En este caso el software TCP/IP traslad el nombre del host archie.ans.net a la direccin IP de 32 bits igual a: 147.225.1.2. Esta traduccin fue hecha por el DNS, tal como vemos en la figura.
El TCP/IP se configura para usar el DNS para resolver nombres. Cuando una aplicacin TCP/IP encuentra el nombre de un computador, la aplicacin enva una consulta al resolvedor de nombres para traducir (convertir) el nombre en una direccin IP. En muchos sistemas el resolvedor de nombres puede estar en la misma estacin de trabajo donde se emite la consulta. El resolvedor de nombres se implementa generalmente como un conjunto de bibliotecas de rutinas del sistema. Si ste no puede encontrar la respuesta, le enva la consulta a otro servidor de nombres que conozca. Tpicamente el servidor de nombres se encuentra dentro de la misma red de la estacin.
El sistema DNS se basa en un comportamiento de tipo consulta/respuesta y usa como medio de transporte el protocolo UDP, por ser ste ms adecuado para aplicaciones basadas en consulta/respuesta ya que no es crtico establecer y mantener una conexin para transmitir datos.
El protocolo TCP tambin puede usarse para este tipo de aplicaciones, pero en caso de una nica consulta muy ocasional puede ser excesiva la sobrecarga de establecer y terminar una conexin.
En el ejemplo TELNET descrito en esta seccin, un servicio de aplicacin usa el DNS para resolver el nombre DNS con su direccin IP equivalente. Esta resolucin de nombre es el propsito principal del DNS, proporcionando la correlacin (mapping) entre el nombre simblico DNS y la direccin IP. El DNS tambin se usa para especificar cul es el servidor de correo que maneja las direcciones de correo electrnico.
La implementacin ms utilizada de DNS es el servidor BIND (Berkeley Internet Domain Name), que estaba inicialmente disponible sobre el BSD Unix y ahora est disponible en la mayor parte de plataformas UNIX. Sobre los sistemas UNIX, el BIND se llama a menudo programa named (name daemon).
Los nombres de host se muestran normalmente separados con puntos, como se vio en la direccin de archie.ans.net. Este tipo de nombre usa una convencin del tipo rbol jerrquico. En la parte superior del rbol esta la raz. Debido a que todos los rboles tienen una misma raz comn, el punto (.) se omite cuando se especifica el nombre jerrquico en las aplicaciones TCP/IP.
Debajo del dominio de raz estn los dominios de alto nivel, tal como se ve en la figura.
Nombres jerrquicos en el DNS:
Esto refleja cmo se organizan los nombres, cuyos ejemplos se aprecian en la tabla. Ejemplos de algunos dominios de alto nivel:
Las designaciones de dos letras se asignan a un pas conforme a las normas del ITU y la norma ISO-3166 (excepto para Gran Bretaa la cual usa UK en vez de GB para su designacin). stas son las mismas designaciones de nacionalidad que se emplean para especificar los objetos de pases en los servicios de directorio de NETWARE (NetWare Directory Services NDS). Debajo de los dominios de alto nivel estn los dominios de nivel intermedio. Cada nombre se separa de otro con un punto, siendo indiferente si se escribe con maysculas o minsculas. La longitud de un nombre de dominio completo no puede exceder de 255 caracteres. Ejemplo: archie.ans.net
En archie.ans.net el nombre del host es archie, el cual est en el dominio ans.net. Si otro host tiene el nombre de sparky y tambin se encuentra en el dominio ans.net, entonces su nombre completamente calificado (Fully Qualified Name FQN) sera el siguiente: sparky.ans.net
Muchos de los nombres intermedios se refieren a los nombres de organizaciones, las cuales son libre de definir internamente sus dominios. Si es as, ellas debern implementar servicios apropiados de dominios de nombre para resolver estos subdominios. Por ejemplo, consideremos la organizacin SCS, a la cual se le otorga el siguiente dominio de nombre: SCS.COM
Si esta organizacin tiene redes separadas para sus sectores de marketing y de investigacin, puede definir tres subdominios nombrados CORP, MKTG y RESCH, y proveer uno o varios servidores DNS para resolver los nombres dentro de sus redes. Los dominios podran ser como sigue:
RESCH.SCS.COM CORP.SCS.COM MKTG.SCS.COM
Aunque no se requiere un servidor DNS para cada dominio, es comn tener uno o ms servidores para cada dominio. En la figura 21.1 puede haber varios servidores DNS para el dominio raz. Los servidores debern conocer los nombres de los dominios de nivel alto tal como: COM, EDU, MIL, ORG y NET. Existen varios servidores de nombre que administran los dominios de nombres en el dominio de raz. La tabla refiere algunos de los servidores de dominio de raz:
Pueden emplearse varios servidores DNS para un dominio a fin de hacer balanceo de carga, evitar trfico innecesario a la red y tener confiabilidad si fallara uno de ellos. El dominio COM puede tener uno o ms servidores DNS y, dentro de este dominio, un subdominio como IBM.COM tendr sus propios servidores DNS. Los host dentro del dominio consultan al servidor local DNS para resolver los nombres. Ejemplo: El computador WORLD.STD.COM consulta al servidor DNS por el dominio STD.COM para hallar la direccin IP del host FTP.NOVELL.COM o la direccin IP de ATHENA.SCS.ORG. Resuelta la consulta, los resultados se guardan localmente en la memoria cach por un lapso configurable. Los servidores DNS para un dominio requieren resolver nombres de los host de sus dominios.
Un servidor secundario DNS de dominio debe conocer la direccin IP del servidor primario en el dominio que el servidor secundario puede contactar para resolver una consulta de nombre. Un servidor DNS tambin debe conocer la direccin IP del servidor DNS padre.
El servidor DNS recibe las consultas en la puerta UDP nmero 53, usando el protocolo UDP.
Amenazas para la seguridad DNS
stas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS: La ocupacin es el proceso mediante el cual un intruso obtiene los datos de zona DNS para obtener los nombres de dominio DNS, nombres de equipo y direcciones IP de recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos DNS para obtener un diagrama u ocupacin, de una red. Los nombres de equipo y dominio DNS suelen indicar la funcin o ubicacin de un dominio o equipo para ayudar a los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. Un intruso se aprovecha del mismo principio DNS para aprender la funcin o ubicacin de dominios y equipos en la red.
Un ataque por servicio denegado
Se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzar su nivel mximo y el servicio del Servidor DNS dejar de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarn de estar disponibles para los usuarios de la red.
La modificacin de datos
Es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP vlidas en paquetes IP que ha creado l mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una direccin IP vlida de la red. Esto se denomina comnmente IP ficticia. Con una direccin IP vlida (una direccin IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque.
La redireccin
Se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que l controle. Un mtodo de redireccin incluye el intento de contaminar la cach DNS de un servidor DNS con datos DNS errneos que pueden dirigir consultas futuras a servidores que controle el intruso. Por ejemplo, si se realiz una consulta originalmente para ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de un nombre externo al dominio microsoft.com, como usuariomalintencionado.com, el servidor DNS utilizar los datos de la cach de usuario-malintencionado.com para resolver la consulta de dicho nombre. La redireccin puede realizarse siempre que el intruso disponga de acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones dinmicas no seguras.
Ventajas del DNS
Desaparece la carga excesiva en la red y en los host, ahora la informacin est distribuida por toda la red, al tratarse de una BBDD distribuida.
No hay Duplicidad de Nombres, el problema se elimina debido a la existencia de dominios controlados por un nico administrador (puede haber nombres iguales pero en dominios diferentes).
Consistencia de la Informacin; ahora la informacin que est distribuida es actualizada automticamente sin intervencin de ningn administrador.
Seguridad DNS
Espacio de nombres DNS: Incorpore seguridad DNS a su diseo de espacio de nombres DNS.
Servicio del Servidor DNS: Revise la configuracin de seguridad predeterminada del servicio Servidor DNS y aplique las caractersticas de seguridad de Active Directory cuando el servicio Servidor DNS se est ejecutando en un controlador de dominio.
Zonas DNS: Revise la configuracin de seguridad predeterminada de la zona DNS y aplique actualizaciones dinmicas seguras y caractersticas de seguridad de Active Directory cuando la zona DNS se incluya en un controlador de dominio.
Registros de recurso DNS: Revisar la configuracin de seguridad predeterminada del registro de recursos [RR, ResourceRecord| DNS y aplique las caractersticas de seguridad de Active Directory cuando los registros de recursos DNS estn incluidos en un controlador de dominio.
Clientes DNS: Controle las direcciones IP del servidor DNS que utilizan los clientes DNS. Para obtener ms informacin vea Proteger los clientes DNS.
Tres niveles de seguridad DNS:
Seguridad de bajo nivel
La seguridad de bajo nivel es una implementacin DNS estndar sin precauciones de seguridad configuradas. Implemente este nivel de seguridad DNS nicamente en entornos de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no existan amenazas de conectividad externa.
La infraestructura DNS de su organizacin est completamente expuesta a Internet.
Todos los servidores DNS de su red realizan resolucin DNS estndar.
Todos los servidores DNS estn configurados con sugerencias de raz dirigidas a los servidores raz para Internet.
Todos los servidores DNS permiten transferencias de zona a cualquier servidor.
Todos los servidores DNS estn configurados para atender en todas sus direcciones IP.
La prevencin de contaminacin de la cach se encuentra deshabilitada en todos los servidores DNS.
Seguridad de nivel medio
La seguridad de nivel medio utiliza las caractersticas de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active Directory.
La infraestructura DNS de su organizacin tiene una exposicin a Internet limitada.
Todos los servidores DNS estn configurados para utilizar reenviadores orientados a una lista especfica de servidores DNS internos cuando no puedan resolver nombres de manera local.
Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en los registros de recursos de servidor de nombres (NS, ame Server| de sus zonas.
Los servidores DNS estn configurados para atender en las direcciones IP especificadas.
La prevencin de contaminacin de la cach se encuentra habilitada en todos los servidores DNS.
La actualizacin dinmica no segura no se permite en ninguna zona DNS.
Seguridad de alto nivel
La seguridad de alto nivel utiliza la misma configuracin que la de nivel medio y adems utiliza las caractersticas de seguridad disponibles cuando el servicio del Servidor DNS se est ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active Directory. Adems, la seguridad de alto nivel elimina por completo la comunicacin DNS con Internet. Esta no es una configuracin tpica, aunque es la recomendada siempre que no sea necesaria la conectividad con Internet.
La infraestructura DNS de su organizacin no tiene comunicacin con Internet a travs de servidores DNS internos.
Su red utiliza una raz y un espacio de nombres DNS internos, en la que toda la autoridad para zonas DNS es interna.
Los servidores DNS configurados con reenviadores slo utilizan direcciones IP del servidor DNS interno.
Todos los servidores DNS limitan las transferencias de zona a direcciones IP especificadas.
Los servidores DNS estn configurados para atender en las direcciones IP especificadas.