PDF de programación - DNS - Guía de seguridad en servicios

Autor



Antonio López Padilla



Coordinación

Daniel Fírvida Pereira



•


La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:

•

Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia
y haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su
obra.
Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.


Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones
puede no aplicarse si se obtiene el permiso de INTECO-CERT como titular de los derechos de autor. Texto completo de la
licencia: http://creativecommons.org/licenses/by-nc-sa/3.0/es/



Guía de seguridad en servicios DNS



2



INDICE

1

2

OBJETIVO DE LA GUÍA


FUNDAMENTOS DE DNS

¿QUÉ ES DNS?

ELEMENTOS INTEGRANTES DE DNS


ESPACIO DE DOMINIOS DE NOMBRES. JERARQUÍA Y SINTAXIS
SERVIDORES DE NOMBRES
RESOLVERS



REGISTROS DNS. FORMATO Y TIPOS

COMUNICACIONES Y TRANSACCIONES DNS



PROTOCOLO DNS

MENSAJES DNS
TRANSACCIONES DNS



CONCEPTOS clave


3

SEGURIDAD EN DNS
AMENAZAS Y VULNERABILIDADES EN DNS



5


6

6

6

7

9

10

10

12

12

12

16

21


22

22

22


23

25

25

26


29

29

29


VECTORES DE ATAQUE Y AMENAZAS EN UN ESCENARIO DNS
VULNERABILIDADES Y PUNTOS DÉBILES EN LA ESPECIFICACIÓN DNS.



DNS CACHE POISONING Y DNS SPOOFING.


DESCRIPCIÓN DEL ATAQUE

MEDIDAS CONTRA EL ATAQUE DE CACHÉ POISONING


4

ATAQUES DE DENEGACIÓN DE SERVICIO

ATAQUE DE AMPLIFICACIÓN DNS


DESCRIPCIÓN DEL ATAQUE

PROTECCIÓN DE UN SERVIDOR EN ATAQUES DE AMPLIFICACIÓN DNS



DENEGACIÓN DE SERVICIO DOS

ATAQUES SOBRE EL REGISTRO DE DOMINIOS. DNS HIJACKING


30

31

32

32
DESCRIPCIÓN


MEDIDAS CONTRA DNS HIJACKING O SECUESTRO DE DOMINIO
32

5

FORTIFICACION DE UN SERVICIO DNS

SEGURIDAD DEL ENTORNO BASE DEL SISTEMA Y EL SOFTWARE


SISTEMA OPERATIVO

CONFIGURACIÓN DEL SOFTWARE


TOPOLOGÍA DE RED.

34

35

35

35

39



Guía de seguridad en servicios DNS



3



MEDIDAS DE SEGURIDAD EN LAS TRANSACCIONES.



MONITORIZACIÓN INTERNA
42

RESUMEN DE MEDIDAS EN EL ENTORNO BASE DEL SERVICIO DNS
43

SEGURIDAD EN CONSULTAS Y RESPUESTAS DNS.
43

SEGURIDAD EN TRANSACCIONES DE TRANSFERENCIAS DE ZONA
46

SEGURIDAD EN NOTIFICACIONES
47


SEGURIDAD EN ACTUALIZACIONES DINÁMICAS
48


RESUMEN DE MEDIDAS EN LA PROTECCIÓN DE LAS TRANSACCIONES

42



MEDIDAS DE SEGURDAD EN LA PROTECCIÓN DE LOS DATOS.


FICHEROS DE ZONA. PARAMETRIZACIÓN EN REGISTROS SOA
RESTRINGIR

INFORMACIÓN PROPORCIONADA POR TIPOS DE

REGISTROS


50

RESUMEN DE LAS MEDIDAS EN LA PROTECCIÓN DE LOS DATOS 51

49

49

49


6



DNSSEC
QUÉ ES Y CÓMO FUNCIONA


COMPONENTES Y OPERACIONES

DIFICULTADES EN EL USO DE DNSSEC

DESPLEGANDO DNSSEC


INDICES Y REFERENCIAS



REFERENCIAS TÉCNICAS

DOCUMENTACIÓN

INDICE DE ILUSTRACIONES

INDICE DE CONFIGURACIONES


ANEXOS


TRANSACTION SIGNATURE. TSIG.

EJEMPLOS PRÁCTICOS DE USO DE DIG

ENLACES Y HERRAMIENTAS ÚTILES


52

52

52

57

58


59

59

59

60

61


62

62

64

72



Guía de seguridad en servicios DNS



4



1 OBJETIVO DE LA GUÍA

El objeto de esta guía es ofrecer una visión general del servicio DNS, describir los principales
ataques de los que es objeto este protocolo o que hacen uso del mismo y proporcionar una
orientación sobre las buenas prácticas a aplicar para asegurar su funcionamiento.

Dirigida a operadores y administradores sistemas y redes, pretende servir de ayuda en la
implementación o bastionado del servicio.

Aunque el enfoque del documento es el protocolo DNS en general,
los ejemplos e
implementaciones aquí propuestas se particularizan para el software de código abierto BIND al ser
el más extendido en este tipo de servicios 1
.

Para ello, este documento se compone de cinco secciones principales:

I.

II.

III.

IV.

Fundamentos de DNS: conceptos, objetivos y funcionamiento de un sistema DNS.

Seguridad en DNS En este apartado se identifican en un escenario típico DNS los posibles
vectores de ataque y los activos afectados.

Vulnerabilidades y amenazas en DNS: se explican debilidades intrínsecas al diseño del
protocolo DNS y los principales ataques que sacan partido de la las mismas.

Bastionado DNS: en esta sección se analizan las medidas de seguridad a implementar en
los tres grandes superficies de ataque del servicio DNS: Infraestructura del servicio DNS,
Comunicaciones y transacciones y Datos.

V. DNSSEC: Finalmente, se ofrece una introducción a DNSSEC, la evolución en la seguridad
de DNS donde, con la introducción de criptografía se pretende dotar al servicio DNS de un
mecanismo eficaz para eliminar vulnerabilidades históricas del diseño.



1 BIND actualmente está distribuido y soportado por Internet System Consortium (ISC: https://www.isc.org/)


Guía de seguridad en servicios DNS



5



2 FUNDAMENTOS DE DNS

En esta sección, se describen los elementos integrantes de una infraestructura DNS, su
nomenclatura, organización jerárquica y el protocolo en sí. Se detalla el formato de los mensajes,
operaciones y transacciones fundamentales con objeto de tener una visión clara de los conceptos
necesarios para la comprensión de las vulnerabilidades que afectan al protocolo.

¿QUÉ ES DNS?
Domain Name System (DNS) es un sistema globalmente distribuido, escalable y jerárquico. Ofrece
una base de datos dinámica asociando direcciones IP de computadoras, servicios o cualquier
recurso conectado a internet o red privada con información de diverso tipo. Soporta tanto IPv4
como IPv6, y la información se almacena en forma de registros Resource Records (RR) de distintos
tipos los cuales pueden almacenar direcciones IP u otro tipo de información. Esta información se
agrupa en zonas, que corresponden a un espacio de nombres o dominio y que son mantenidas por
el servidor DNS autoritativo de la misma.

Fundamentalmente, DNS se encarga de traducir direcciones IP de recursos de red a nombres
fácilmente legibles y memorizables por las personas, y viceversa. A esta acción se la conoce como
“resolución DNS”. De esta forma, se establece un mecanismo amigable para la localización e
identificación de recursos. Comúnmente se usa la analogía de una guía de teléfonos donde se
puede localizar a partir de un nombre su número asociado, o a la inversa. En este símil, los
números representarían direcciones IP y los nombres, registros del espacio de dominios.

ELEMENTOS INTEGRANTES DE DNS
DNS se estructura en tres componentes principales:

• Espacio de dominios de nombres: Consiste en un estructura jerárquica de árbol donde
cada nodo contiene cero o más registros (Resource Records, o RR) con información del
dominio. Del nodo raíz, situado en el nivel más alto, parten las ramas que conforman las
mencionadas zonas. Estas, a su vez, pueden contener uno o más nodos o dominios que a
su vez pueden dividirse en subdominios según se baja en la jerarquía. Véase Ilustración 1.
Jerarquía del espacio de nombresJerarquía del espacio de nombres

• Servidores de Nombres: Son servidores encargados de mantener y proporcionar
información del espacio de nombres o dominios. Por una parte, existen servidores que
almacenan información completa para uno o varios conjuntos del espacio de nombres
(dominios) y de las cuales es responsable. Se dice que son servidores autoritativos de esas
zonas/dominios en cuestión. Por otro lado, hay otro tipo de servidor que almacena conjuntos
de registros de distintas zonas/dominios que obtiene consultando a los correspondientes
servidores autoritativos de las mismas (búsquedas recursivas). Esta información la
almacenan localmente de forma temporal (caché) y la renuevan periódicamente. Son los
llamados servidores caché. Con los servidores de nombres y su intercomunicación se
consigue la distribución y redundancia del espacio de dominios. Con esta organización de
servidores de nombres, y su intercomunicación, se consigue la distribución y redundancia
del espacio de dominios.



Guía de seguridad en servicios DNS



6



• Resolvers: Son servidores caché o programas cliente los cuales se encargan de generar
las consultas necesarias y obtener la información solicitada para ofrecerla al usuario que la
solicita.

ESPACIO DE DOMINIOS DE NOMBRES. JERARQUÍA Y SINTAXIS

• Estructura jerárquica

DNS está compuesto por un espacio de nombres de dominio organizados en jerarquía de árbol
donde se enlazan nodos, cada uno representando un nivel del espacio de dominios. El nivel más
alto de toda la jerarquía es el dominio raíz o root, representado por “.” (punto). Justo un nivel por
debajo se encuentran los Top Level Domains o TLDs. Éstos, a su vez, son nodos padre de otros
niveles inferiores que se conocen como TLDs de segundo nivel. Sucesivamente, la jerarquía
continúa hasta llegar a un nodo final