Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Área de
Descripción
seguridad DNS
Espacio de Incorporar la seguridad DNS al diseño de espacio de nombres DNS. Se detalla más adelante en
nombres DNS el inciso de Protección de la implementación de DNS.
Revisar la configuración de seguridad predeterminada del servicio Servidor DNS y aplicar las
Servicio
características de seguridad de Active Directory cuando el servicio se ejecute en un controlador
Servidor DNS
de dominio. Se detalla más adelante en el inciso de Protección del servicio Servidor DNS.
Revisar la configuración de seguridad predeterminada de la zona DNS y aplicar las
actualizaciones dinámicas seguras y las características de seguridad de Active Directory cuando
Zonas DNS
la zona se hospede en un controlador de dominio. Se detalla más adelante en el inciso de
Protección de zonas DNS.
Revisar la configuración de seguridad predeterminada del registro de recursos DNS y aplicar las
Registros de características de seguridad de Active Directory cuando los registros se hospeden en un
recursos DNS controlador de dominio. Se detalla más adelante en el inciso de Protección de registros de
recursos DNS.
Controlar las direcciones IP del servidor DNS que usen los clientes DNS. Se detalla más adelante
Clientes DNS
en el inciso de Protección de clientes DNS.
La seguridad de nivel bajo es una implementación DNS estándar sin medidas de seguridad configuradas.
Implementar este nivel de seguridad DNS únicamente en entornos de red en los que no preocupa la integridad
de los datos DNS o bien en una red privada en la que no haya amenazas de conectividad externa. La seguridad
DNS de nivel bajo tiene las siguientes características:
Todos los servidores DNS de la red llevan a cabo la resolución DNS estándar.
Todos los servidores DNS se configuran con sugerencias de raíz que señalan a los servidores raíz de
Internet.
Todos los servidores DNS permiten las transferencias de zona a cualquier servidor.
Todos los servidores DNS están configurados para escuchar en todas sus direcciones IP.
La función para evitar la contaminación de la caché está deshabilitada en todos los servidores DNS.
El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 está abierto en el firewall de la red,
tanto para direcciones de origen como de destino.
La seguridad de nivel medio usa las características de seguridad DNS disponibles sin ejecutar servidores DNS
en controladores de dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory (AD DS).
La seguridad DNS de nivel medio tiene las siguientes características:
Todos los servidores DNS están configurados para usar reenviadores que apunten a una lista específica
de servidores DNS internos cuando no puedan resolver los nombres de forma local.
Todos los servidores DNS limitan las transferencias de zona a servidores incluidos en los registros de
recursos del servidor de nombres (NS) de sus respectivas zonas.
La función para evitar la contaminación de la caché está habilitada en todos los servidores DNS.
Los servidores DNS internos se comunican con los servidores DNS externos mediante el firewall con
una lista limitada de direcciones de origen y de destino permitidas.
Los servidores DNS externos delante del firewall se configuran con sugerencias de raíz que apuntan a
los servidores raíz de Internet.
Todas las resoluciones de nombres de Internet se realizan con puertas de enlace y servidores proxy.
La seguridad de nivel alto usa la misma configuración que la seguridad de nivel medio. También usa las
características de seguridad disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de
dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel alto elimina completamente
la comunicación DNS con Internet. No es la configuración típica, pero se recomienda cuando no se requiere
conectividad a Internet. La seguridad DNS de nivel alto tiene las siguientes características:
En la infraestructura DNS de la organización, los servidores DNS internos no tienen comunicación con
Internet.
La red usa un espacio de nombres y una raíz DNS de carácter interno; toda la autoridad de las zonas
DNS es interna.
Los servidores DNS que se configuran con reenviadores sólo usan direcciones IP de servidor DNS
interno.
Todos los servidores DNS limitan las transferencias de zona a las direcciones IP especificadas.
La función para evitar daños en la memoria caché está habilitada en todos los servidores DNS.
Los servidores DNS internos se configuran con sugerencias de raíz que señalan a los servidores DNS
internos que hospedan la zona raíz del espacio de nombres interno.
Todos los servidores DNS se ejecutan en controladores de dominio. Se configura una lista de control de
acceso discrecional (DACL) en el servicio Servidor DNS para permitir que sólo usuarios específicos
realicen tareas administrativas en el servidor DNS.
Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura para permitir que sólo usuarios
específicos puedan crear, eliminar o modificar zonas DNS.
Las listas DACL se configuran en registros de recursos DNS para permitir que sólo usuarios específicos
puedan crear, eliminar o modificar datos DNS.
La actualización dinámica segura se configura para las zonas DNS, excepto para las zonas raíz y de nivel
superior, que no permiten ningún tipo de actualización dinámica.
Si los hosts de la red no son necesarios para resolver los nombres en Internet, eliminar la comunicación
de DNS con Internet.
En este diseño de DNS, se puede usar un espacio de nombres DNS privado que se hospede en su
totalidad en la red. El espacio de nombres DNS privado se distribuye como el espacio de nombres DNS
de Internet, en el que los servidores DNS internos hospedan zonas para el dominio raíz y los dominios
de nivel superior.
Dividir el espacio de nombres DNS de la organización entre servidores DNS internos detrás del firewall
y servidores DNS externos delante del firewall.
En este diseño de DNS, el espacio de nombres DNS interno es un subdominio del espacio de nombres
DNS externo. Por ejemplo, si el espacio de nombres DNS de Internet de la organización es
tailspintoys.com, el espacio de nombres DNS interno de la red es corp.tailspintoys.com.
Hospedar el espacio de nombres DNS interno en servidores DNS internos y hospedar el espacio de
nombres DNS externo en servidores DNS externos que estén expuestos a Internet.
Para resolver las consultas de nombres externos que realizan los hosts internos, los servidores DNS
internos de este diseño de DNS reenvían consultas de nombres externos a los servidores DNS externos.
Los hosts externos sólo usan servidores DNS externos para la resolución de nombres de Internet.
Configurar el firewall de filtrado de paquetes para que únicamente permita la comunicación por el
puerto UDP y TCP 53 entre el servidor DNS externo y un solo servidor DNS interno.
Este diseño de DNS facilita la comunicación entre los servidores DNS internos y externos e impide que
cualquier otro equipo externo obtenga acceso al espacio de nombres DNS interno.
Configuración
Descripción
predeterminada
Si se tiene una raíz de DNS interna en la infraestructura de DNS, configurar las sugerencias
de raíz de los servidores DNS internos para que apunten sólo a los servidores DNS que
Sugerencias de raíz
hospedan el dominio raíz y no a los servidores DNS que hospedan el dominio raíz de
Internet. Esto impide que los servidores DNS internos envíen información privada a través
de Internet cuando resuelven nombres.
En la siguiente tabla se muestran los nombres de usuario o grupo y los permisos predeterminados para el
servicio Servidor DNS cuando se ejecuta en un controlador de dominio.
Cuando el servicio Servidor DNS se ejecuta en un controlador de dominio, puede administrar su DACL con el
objeto MicrosoftDNS de Active Directory. Configurar DACL en el objeto MicrosoftDNS tiene el mismo efecto
que configurar DACL en el servidor DNS del Administrador de DNS, que es el método recomendado. En
consecuencia, los administradores de seguridad de los objetos de Active Directory y los servidores DNS deben
estar en contacto directo para garantizar que un administrador no cambie la configuración de seguridad
establecida por otro administrador.
En la siguiente tabla se muestran los nombres y los permisos predeterminados de grupos o usuarios para las
zonas DNS almacenadas en AD DS.
El servicio Servidor DNS que se ejecuta en un controlador de dominio y que tiene zonas almacenadas en AD DS
almacena sus datos de zona en AD DS con objetos y atributos de Active Directory. Configurar la DACL en los
objetos de Active Directory DNS tiene el mismo efecto que configurarla en zonas DNS del Administrador de
DNS. En consecuencia, los administradores de la seguridad de los objetos de Active Directory y los
administradores de la seguridad de los datos DNS deben estar en contacto directo para asegurarse de que no
invierten sus respectivas configuraciones de seguridad.
En la siguiente tabla se describen los objetos y los atributos de Active Directory que usan los datos de zona
DNS.
Objeto Descripción
Determinar cuáles son las amenazas para la seguridad DNS más importantes en el entorno y el nivel de
seguridad que se necesita.
Para impedir que alguien ajeno a la empresa obtenga información de la red interna, usar servidores
DNS independientes para la resolución de nombres internos y de Internet. El espacio de nombres DNS
interno debe hospedarse en servidores DNS situados detrás del firewall de la red. La presencia externa
de DNS en Internet debe administrarla un servidor DNS en una red perimetral. Para ofrecer la
resolución de nombres de Internet en hosts internos, se puede hacer que los servidores DNS internos
usen un reenviador para enviar consultas externas al servidor DNS externo. Configurar el enrutador
externo y el firewall para permitir el tráfico DNS sólo entre sus servidores DNS internos y externos.
En el caso de los servidores DNS de la red que están expuestos a Internet, si debe habilitarse la
transferencia de zona, restringir las transferencias de zona DNS a los servidores DNS que identifican los
registros de recursos del servidor de nombres (NS) o a los servidores DNS específicos de su red.
Si el servidor que ejecuta el servicio Servidor DNS es un equipo de host múltiple, restringir el servicio
Servidor DNS para que escuche sólo en la dirección IP de la interfaz que usan sus clientes DNS y sus
servidores internos. Por ejemplo, un servidor que actúa como servidor proxy puede tener dos
adaptadores de red, uno para la intranet y otro para Internet. Si ese servidor también ejecuta el
servicio Servidor DNS, se puede configurar el servicio para que escuche el tráfico DNS sólo en la
dirección IP que usa el adaptador de red de la intranet.
Asegurarse de que las opciones de servidor predeterminadas que protegen las cachés de todos los
servidores DNS frente a la corrupción de los nombres no hayan cambiado. La corrupción de los
nombres se produce cuando las respuestas de las consultas DNS contienen datos no autoritativos o
malintencionados.
Permitir sólo actualizaciones dinámicas seguras para todas las zonas DNS. Esto garantiza que
únicamente los usuarios autenticados pueden enviar actualizaciones de DNS mediante el uso de un
método seguro, lo que puede contribuir a impedir que las direcciones IP de hosts de confianza sean
secuestradas por un atacante.
Deshabilitar la recursividad en servidores DNS que no respondan a clientes DNS directamente y que no
estén configurados con reenviadores. Un servidor DNS solamente necesita la recursividad si responde a
consultas recursivas de clientes DNS o si está configurado con un reenviador. Los servidores DNS usan
consultas iterativas para comunicarse entre ellos.
Si se dispone de un espacio de nombres DNS interno y privado, configurar las sugerencias de raíz en los
servidores DNS internos para que sólo apunten a los servidores DNS que hospeden el dominio raíz
interno y no a los servidores DNS que hospedan el dominio raíz de Internet.
Si el servidor que ejecuta el servicio Servidor DNS es un controlador de dominio, usar las listas de
control de acceso (ACL) de Active Directory para proteger el control de acceso del servicio Servidor
DNS.
Usar sólo zonas DNS integradas en AD DS. Las zonas DNS almacenadas en AD DS pueden aprovecharse
de las características de seguridad de Active Directory como, por ejemplo, la actualización dinámica
segura y la capacidad de aplicar la configuración de seguridad de AD DS a servidores y zonas DNS, y a
registros de recursos.
Si una zona DNS no está almacenada en AD DS, proteger el archivo de zona DNS mediante la
modificación de los permisos del archivo de zona DNS situado en la carpeta en la que se almacenan los
archivos de zona. Los permisos de la carpeta o del archivo de zona deben configurarse para permitir el
control total únicamente en el grupo Sistema. Los archivos de zona se almacenan de forma
predeterminada en la carpeta %systemroot%\System32\Dns.
Es posible asociar nombres en lenguaje normal con direcciones numéricas gracias al sistema llamado DNS
(Sistema de Nombres de Dominio).
Esta correlación entre las direcciones IP y el nombre de dominio asociado se llama resolución de nombres de
dominio (o resolución de direcciones).
Espacio de nombre:
La estructura del sistema DNS se basa en una estructura de arbórea en donde se definen los dominios de nivel
superior (llamados TLD, Dominios de Nivel Superior); esta estructura está conectada a un nodo raíz
representado por un punto.
Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con una longitud máxima de 63
caracteres.
Por lo tanto, todos los nombres de dominio conforman una estructura arbórea inversa en donde cada nodo
está separado del siguiente nodo por un punto (".").
El extremo de la bifurcación se denomina host, y corresponde a un equipo o entidad en la red. El nombre del
ordenador que se provee debe ser único en el dominio respectivo, o de ser necesario, en el sub-dominio. Por
ejemplo, el dominio del servidor Web por lo general lleva el nombre www.
El nombre absoluto está relacionado con todas las etiquetas de nodo de una estructura arbórea, separadas
por puntos y que termina con un punto final que se denomina la dirección FQDN (Nombre de Dominio
totalmente calificado). La profundidad máxima de una estructura arbórea es 127 niveles y la longitud máxima
para un nombre FQDN es 255 caracteres. La dirección FQDN permite ubicar de manera única un equipo en la
red de redes. Por lo tanto, es.kioskea.net. es una dirección FQDN.
Cada dominio cuenta con un servidor de nombre de dominio, llamado servidor de nombre de dominio
principal, así como también un servidor de nombre de dominio secundario, que puede encargarse del servidor
de nombre de dominio principal en caso de falta de disponibilidad.
Cada servidor de nombre de dominio está especificado en el servidor de nombre de dominio en el nivel
superior inmediato, lo que significa que la autoridad sobre los dominios puede delegarse implícitamente. El
sistema de nombre es una arquitectura distribuida, en donde cada entidad es responsable de la
administración de su nombre de dominio. Por lo tanto, no existe organización alguna que sea responsable de
la administración de todos los nombres de dominio.
Los servidores relacionados con los dominios de nivel superior (TLD) se llaman "servidores de dominio de
nivel superior". Son 13, están distribuidos por todo el mundo y sus nombres van desde "a.root-servers.net"
hasta "m.root-servers.net".
Cuando una aplicación desea conectarse con un host conocido a través de su nombre de dominio (por
ejemplo, "es.kioskea.net"), ésta interroga al servidor de nombre de dominio definido en la configuración de su
red. De hecho, todos los equipos conectados a la red tienen en su configuración las direcciones IP de ambos
servidores de nombre de dominio del proveedor de servicios.
Entonces se envía una solicitud al primer servidor de nombre de dominio (llamado el "servidor de nombre de
dominio principal"). Si este servidor de nombre de dominio tiene el registro en su caché, lo envía a la
aplicación; de lo contrario, interroga a un servidor de nivel superior (en nuestro caso un servidor relacionado
con el TLD ".net"). El servidor de nombre de nivel superior envía una lista de servidores de nombres de
dominio con autoridad sobre el dominio (en este caso, las direcciones IP de los servidores de nombres de
dominio principal y secundario para cómofunciona.net).
Entonces el servidor de nombres de dominio principal con autoridad sobre el dominio será interrogado y
devolverá el registro correspondiente al dominio del servidor (en nuestro caso www).
¿QUE SABEMOS DE LOS BALANCEADORES DE CARGA?
De los distintos balanceadores de carga que se lee en la unidad, uno de los métodos más conveniente para
implementar es el de Nodo de Balanceo, ya que es más completo y ofrece más ventajas que las otras
alternativas que estudiamos. A continuación una breve introducción sobre el balanceo de carga y detallado
bien cada uno de estos métodos, donde se expone claramente por qué puede ser la mejor alternativa.
Balanceador de carga:
Un Balanceador de carga fundamentalmente es un dispositivo de hardware o software que se pone al frente
de un conjunto de servidores que atienden una aplicación y, tal como su nombre lo indica, asigna o balancea
las solicitudes que llegan de los clientes a los servidores usando algún algoritmo.
El Balanceo de carga es una técnica empleada para compartir el trabajo a realizar entre varios elementos que
dispongan de los recursos necesarios y sean capaces de realizarlo, como procesadores, equipos, sistemas de
almacenamiento y otros dispositivos.
Se realiza gracias a algoritmos de balanceo que dividen de la manera más precisa y equitativa posible el
trabajo, encuentran el mapeo de tareas que resulte proporcional y consiguen que cada componente tenga una
cantidad de trabajo que demande aproximadamente el mismo tiempo, para evitar los llamados cuellos de
botella entre los elementos que lo componen.
Un mapeo que balancea la carga de trabajo de los procesadores incrementa la eficiencia global y reduce el
tiempo de ejecución. La administración del balanceo es particularmente compleja si los procesadores (y las
comunicaciones entre ellos) son heterogéneos, ya que deben tenerse en cuenta los protocolos, velocidades,
sistemas operativos y comunicaciones.
La solución, por lo tanto, será añadir y configurar más servidores y establecer una política de balanceo de
carga para procesar las peticiones de los clientes hacia ellos. Así, se incrementará la velocidad de acceso del
cliente al servidor, mejorará la disponibilidad y fiabilidad del sistema y la tolerancia a fallos, permitiendo
reparar o mantener cualquier servidor en caliente sin que afecte al resto del servicio.