Está en la página 1de 8

DESCRIPCIÓN DE DNS.

conocido por sus siglas (DNS) Domain Name System es un sistema global
distribuido, escalable y jerárquico. ofreciéndonos una base de datos dinamias
donde son asociados a direcciones IP. Este método es empleado para nombrar a
los dispositivos que se encuentran Conectados a una red a través del IP (Internet
Protocol o Protocolo de Internet).
El DNS se encarga de traducir direcciones IP de la red en nombres legibles donde
pueda ser memorizables para las personas, conocido como "resolución DNS"
ofreciendo de forma amigable la identificación de recursos, un ejemplo es que es
como una guía de teléfonos donde localizamos a partir de un nombre un numero
asociado o viceversa. donde la dirección IP serían los nombres y los registros los
dominios.

EJEMPLOS DE DNS.

Un único servidor de sistema de nombres de dominio para una intranet:

La utilización de una subred simple en un servidor Dns para el uso interno.


Como ejemplo podemos observar la figura 1. donde es ejecutada en una
plataforma para el uso de una red interna. donde esta instancia está configurada
para que solo lleguen consultas de las direcciones IP de la propia interfaz. este
sistema es un servidor con el nombre primario de la zona como: miempresa.com.
Figura 1 Ejemplo Dns intranet.

Podemos observar que cada host tiene una dirección IP y un nombre de dominio.
El administrador define manualmente los hosts en los datos de la zona DNS,
creando registros. Dichos registros correlacionan de direcciones. el nombre de una
maquina con una dirección IP que se encuentra asociada a ella. De tal forma los
hosts de la red pueden consultar el servidor DNS para que localice la dirección IP
que le fue asignada a un determinado host.
Un único servidor de sistema de nombres de dominio con acceso a internet:
En la figura 2 se observa la misma red del ejemplo de la figura 1, pero en este
particular caso la empresa añadió acceso a una conexión a internet. La empresa
podrá acceder a internet, pero tendrá un cortafuegos configurado para bloquear
tráfico que entra en la red.

Figura 2 Ejemplo servidor Dns con acceso a internet.

Para tener acceso a direcciones de internet, se deben realizar una de las


siguientes tareas:
- definir secciones raíz de internet: cargar automáticamente los servidores raíz de
forma pregerminada.
- Habilitar el reenvió: configurar un reenvió donde pueda pasar consultas sobre las
zonas fuera de miempresa.com a los servidores Dns externos

Posiblemente serán necesarios cambios de configuraciones como:


- Asignar direcciones Ip sin restricciones
- Registrar nombre del dominio donde sea visible en internet
- Establecer cortafuego, donde no conviene que el Dns este directamente
conectado a internet, configurando un cortafuegos o tomando medidas de
precaución para proteger la plataforma.

PLAN PARA EL SISTEMA DE NOMBRES DE DOMINIO (DNS)

los sistemas Dns ofrece una serie de soluciones donde conviene planificar como
funcionara en la red, evaluar cuestiones como la estructura de la red, rendimiento
y seguridad.

1. Determinar las autorizaciones del sistema de nombres de dominio:

hay requisitos espaciales para el administrador del Dns, como precauciones de


seguridad, para la protección de las configuraciones, donde debe establecer
cuales usuarios podrán acceder a ella.

es necesario un nivel mínimo de autorización, donde la administración


configure el Dns. Este acceso garantiza que pueda realizar tareas
administrativas. además, conviene otorgar usuarios que configuren el Dns
acceso como responsables de la seguridad.

2. Determinar la estructura del dominio:

Al configurar por primera vez un dominio se debe planificar necesidades y el


mantenimiento antes de crear zonas.

Determinar cómo se va a dividir el dominio y subdominios en zonas, como


atender mejor las demandas de la red, como acceder a internet y negociar los
cortafuegos.
Un ejemplo de los Dns de IBM proporciona interfaz gráfica para configurar los
sistemas. todas las zonas y objetos definidos por la plataforma se organizan en
zonas de búsquedas directos y zona de búsqueda inversa, donde estas se
usan para correlacionar nombre de dominio con direcciones IP. los Dns de IBM
emplean zonas primarias y zonas secundarias.

3. Planificar medidas de seguridad:

Los sistemas de dominio Dns proporcionan soluciones de seguridad para


limitar acceso externo al servidor tales como:

 Listas de coincidencia de direcciones: El DNS utiliza listas de


coincidencia de direcciones para permitir o denegar a entidades
externas el acceso a determinadas funciones del DNS.
 Orden de los elementos en la lista de coincidencia de direcciones: Se
utiliza el primer elemento de una lista de coincidencia de direcciones con
el que coincida una dirección dada. Por ejemplo, para permitir todas las
direcciones de la red 10.1.1.x excepto la dirección 10.1.1.5, los
elementos de la lista de coincidencia deben estar en este orden (!
10.1.1.5; 10.1.1/24).
 Opciones de control de acceso: El DNS le permite establecer
limitaciones con respecto a quién puede enviar actualizaciones
dinámicas al servidor, consultar datos y solicitar transferencias de zona.

CRITERIOS PARA CONFIGURAR UN DNS.

 Configurar servidores de nombres: El Dns nos permite crear múltiples


instancias del servidor de nombres.
 Crear una instancia del servidor de nombres: En el asístete usado para el
servidor Dns debemos utilizar los siguientes datos de entrada
i) nombre de servidor
ii) Direcciones IP de escucha
iii) Servidores raíz
iv) Inicio del servidor
 Editar las propiedades del servidor de sistema de nombres de dominio
(DNS)
 Configurar zonas en un servidor de nombres.
 Configurar vistas en un servidor de nombres.
 Configurar el sistema de nombres de dominio (DNS) para que reciba
actualizaciones dinámicas; Se pueden configurar de modo que acepten
peticiones de otras fuentes para actualizar dinámicamente los datos de la
zona.
 Importar archivos del sistema de nombres de dominio (DNS).
 Acceder a los datos de un sistema de nombres de dominio (DNS) externo:
Los servidores raíz son esenciales en el funcionamiento de un servidor
DNS que esté directamente conectado a Internet o a una intranet extensa.

COMO APLICAR SEGURIDAD EN DNS

Seguridad en DNS:
El entorno Dns se identifican puntos con posibles ataques que pueden
desarrollarse localmente en el propio servidor o red local, como en las
comunicaciones entre servidores y clientes. Como:
1. Amenazas locales.
2. Amenazas Servidor-Servidor.
3. Amenazas Servidor Máster - Servidor Esclavo.
4. Amenazas Servidor Máster - Servidor Cliente Caché/Resolver.
5. Servidor – Cliente.

Entre las amenazas se encuentran:

Ataques de DDoS
La primera amenaza derivada de los DNSs pueden ser los ataques de DDoS a los
servidores DNS. Este tipo de ataques lo que hacen es impedir que se puedan
publicar cambios o servir peticiones y pueden ser de distintos tipos
Ataque de amplificación
Aquí nos basamos en una técnica donde la petición es muy pequeña, pero la
respuesta que nos tiene que dar el servidor DNS es muy grande. En este caso a
base de peticiones pequeñas podríamos hacer que el servidor DNS se saturara y
dejara de dar peticiones.

Ataque reflejo
Se hacen peticiones, pero con la IP origen falseada, un spoofing, de forma que si
esto lo juntamos con un ataque a amplificación podemos enviar una gran cantidad
de tráfico a una IP concreta que nosotros queramos.

Entre otros muchos tipos de ataques.


Soluciones a los ataques.
Un DDoS abruma al servido DNS con un montón de peticiones que impiden que
se pueda servir el tráfico legítimo. Una solución consiste es el concepto de token
bucket, es decir, cuantas peticiones se pueden contestar cada origen durante un
periodo de tiempo, si se superan esas peticiones se pueden truncar las respuestas
para evitar ataques de amplificación. A esto lo llamaremos RPL, es decir
Response Rate Limiting.

Otra cosa para hacer es DNSSec, pero esto a lo largo de la semana procuraré
presentároslo, pero con el señor Almenar que es la persona que lo ha puesto en
funcionamiento en Neodigit y que bien seguro que nos puede aportar muchísimo
más de lo que yo os puedo decir más que nada porque se ha peleado bastante
con el. Simplemente decir que DNSSec lo que hace es proporcionar validación de
la respuesta, que no encripta el tráfico y que es compatible con aquellos servicios
que funcionen sin DNSSec.

RPZ – Response Policy Zones


Hay un tema super interesante que son los RPZ, o Response Policy Zones, esto
es algo parecido a un Access List pero para DNS, y podemos gestionar peticiones
y respuestas y tomar acciones en función de las condiciones, como redirigir a otro
sitio con una página de error.
Referencias
Collado, E. (2018). Seguridad en DNS. Obtenido de
https://www.eduardocollado.com/2018/06/10/podcast-163-seguridad-en-dns/
i, I. (s.f.). Redes Sistema de nombres de dominio (DNS). España.
Padilla, A. L. (s.f.). guia de seguridad en servicios dns. España: INTECO .