PDF de programación - guia de seguridad en servicios dns

Autor



Antonio López Padilla



Coordinación

Daniel Fírvida Pereira



La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:



Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia
y haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.




Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso de INTECO-CERT como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/

La imagen utilizada en el fondo de la portada ha sido diseñada por Freepik.com



Guía de seguridad en servicios DNS



2



INDICE

1

2

OBJETIVO DE LA GUÍA

FUNDAMENTOS DE DNS

¿QUÉ ES DNS?

ELEMENTOS INTEGRANTES DE DNS

5

6

6

6

ESPACIO DE DOMINIOS DE NOMBRES. JERARQUÍA Y SINTAXIS 7

SERVIDORES DE NOMBRES

RESOLVERS

REGISTROS DNS. FORMATO Y TIPOS

COMUNICACIONES Y TRANSACCIONES DNS

PROTOCOLO DNS

MENSAJES DNS

TRANSACCIONES DNS

CONCEPTOS clave

3

SEGURIDAD EN DNS

AMENAZAS Y VULNERABILIDADES EN DNS

9

10

10

12

12

12

16

21

22

22

VECTORES DE ATAQUE Y AMENAZAS EN UN ESCENARIO DNS 22

VULNERABILIDADES Y PUNTOS DÉBILES EN LA ESPECIFICACIÓN DNS.



DNS CACHE POISONING Y DNS SPOOFING.

DESCRIPCIÓN DEL ATAQUE

MEDIDAS CONTRA EL ATAQUE DE CACHÉ POISONING

4

ATAQUES DE DENEGACIÓN DE SERVICIO

ATAQUE DE AMPLIFICACIÓN DNS

DESCRIPCIÓN DEL ATAQUE

23

25

25

26

29

29

29

PROTECCIÓN DE UN SERVIDOR EN ATAQUES DE AMPLIFICACIÓN DNS



DENEGACIÓN DE SERVICIO DOS

ATAQUES SOBRE EL REGISTRO DE DOMINIOS. DNS HIJACKING

DESCRIPCIÓN

30

31

32

32

MEDIDAS CONTRA DNS HIJACKING O SECUESTRO DE DOMINIO 32

5

FORTIFICACION DE UN SERVICIO DNS

SEGURIDAD DEL ENTORNO BASE DEL SISTEMA Y EL SOFTWARE

SISTEMA OPERATIVO

CONFIGURACIÓN DEL SOFTWARE

TOPOLOGÍA DE RED.

34

35

35

35

39


Guía de seguridad en servicios DNS



3



MONITORIZACIÓN INTERNA

42

RESUMEN DE MEDIDAS EN EL ENTORNO BASE DEL SERVICIO DNS 42

MEDIDAS DE SEGURIDAD EN LAS TRANSACCIONES.

SEGURIDAD EN CONSULTAS Y RESPUESTAS DNS.

43

43

SEGURIDAD EN TRANSACCIONES DE TRANSFERENCIAS DE ZONA 46

SEGURIDAD EN NOTIFICACIONES

SEGURIDAD EN ACTUALIZACIONES DINÁMICAS

47

48

RESUMEN DE MEDIDAS EN LA PROTECCIÓN DE LAS TRANSACCIONES



MEDIDAS DE SEGURDAD EN LA PROTECCIÓN DE LOS DATOS.

49

49

FICHEROS DE ZONA. PARAMETRIZACIÓN EN REGISTROS SOA 49

RESTRINGIR

INFORMACIÓN PROPORCIONADA POR TIPOS DE

REGISTROS

50

RESUMEN DE LAS MEDIDAS EN LA PROTECCIÓN DE LOS DATOS51

6

DNSSEC

QUÉ ES Y CÓMO FUNCIONA

COMPONENTES Y OPERACIONES

DIFICULTADES EN EL USO DE DNSSEC

DESPLEGANDO DNSSEC

INDICES Y REFERENCIAS

REFERENCIAS TÉCNICAS

DOCUMENTACIÓN

INDICE DE ILUSTRACIONES

INDICE DE CONFIGURACIONES

ANEXOS

TRANSACTION SIGNATURE. TSIG.

EJEMPLOS PRÁCTICOS DE USO DE DIG

ENLACES Y HERRAMIENTAS ÚTILES

52

52

52

57

58

59

59

59

60

61

62

62

63

72


Guía de seguridad en servicios DNS



4



1 OBJETIVO DE LA GUÍA

El objeto de esta guía es ofrecer una visión general del servicio DNS, describir los principales ataques
de los que es objeto este protocolo o que hacen uso del mismo y proporcionar una orientación sobre
las buenas prácticas a aplicar para asegurar su funcionamiento.

Dirigida a operadores y administradores sistemas y redes, pretende servir de ayuda en la
implementación o bastionado del servicio.

Aunque el enfoque del documento es el protocolo DNS en general, los ejemplos e implementaciones
aquí propuestas se particularizan para el software de código abierto BIND al ser el más extendido en
este tipo de servicios 1.

Para ello, este documento se compone de cinco secciones principales:

I.

Fundamentos de DNS: conceptos, objetivos y funcionamiento de un sistema DNS.

II.

III.

IV.

Seguridad en DNS En este apartado se identifican en un escenario típico DNS los posibles
vectores de ataque y los activos afectados.

Vulnerabilidades y amenazas en DNS: se explican debilidades intrínsecas al diseño del
protocolo DNS y los principales ataques que sacan partido de la las mismas.

Bastionado DNS: en esta sección se analizan las medidas de seguridad a implementar en los
tres grandes superficies de ataque del servicio DNS: Infraestructura del servicio DNS,
Comunicaciones y transacciones y Datos.

V. DNSSEC: Finalmente, se ofrece una introducción a DNSSEC, la evolución en la seguridad
de DNS donde, con la introducción de criptografía se pretende dotar al servicio DNS de un
mecanismo eficaz para eliminar vulnerabilidades históricas del diseño.



1 BIND actualmente está distribuido y soportado por Internet System Consortium (ISC: https://www.isc.org/)



Guía de seguridad en servicios DNS



5



2 FUNDAMENTOS DE DNS

En esta sección, se describen los elementos integrantes de una infraestructura DNS, su
nomenclatura, organización jerárquica y el protocolo en sí. Se detalla el formato de los mensajes,
operaciones y transacciones fundamentales con objeto de tener una visión clara de los conceptos
necesarios para la comprensión de las vulnerabilidades que afectan al protocolo.

¿QUÉ ES DNS?

Domain Name System (DNS) es un sistema globalmente distribuido, escalable y jerárquico. Ofrece
una base de datos dinámica asociando direcciones IP de computadoras, servicios o cualquier recurso
conectado a internet o red privada con información de diverso tipo. Soporta tanto IPv4 como IPv6, y
la información se almacena en forma de registros Resource Records (RR) de distintos tipos los cuales
pueden almacenar direcciones IP u otro tipo de información. Esta información se agrupa en zonas,
que corresponden a un espacio de nombres o dominio y que son mantenidas por el servidor DNS
autoritativo de la misma.

Fundamentalmente, DNS se encarga de traducir direcciones IP de recursos de red a nombres
fácilmente legibles y memorizables por las personas, y viceversa. A esta acción se la conoce como
“resolución DNS”. De esta forma, se establece un mecanismo amigable para la localización e
identificación de recursos. Comúnmente se usa la analogía de una guía de teléfonos donde se puede
localizar a partir de un nombre su número asociado, o a la inversa. En este símil, los números
representarían direcciones IP y los nombres, registros del espacio de dominios.

ELEMENTOS INTEGRANTES DE DNS

DNS se estructura en tres componentes principales:

 Espacio de dominios de nombres: Consiste en un estructura jerárquica de árbol donde
cada nodo contiene cero o más registros (Resource Records, o RR) con información del
dominio. Del nodo raíz, situado en el nivel más alto, parten las ramas que conforman las
mencionadas zonas. Estas, a su vez, pueden contener uno o más nodos o dominios que a su
vez pueden dividirse en subdominios según se baja en la jerarquía. Véase Ilustración 1.
Jerarquía del espacio de nombresJerarquía del espacio de nombres

 Servidores de Nombres: Son servidores encargados de mantener y proporcionar
información del espacio de nombres o dominios. Por una parte, existen servidores que
almacenan información completa para uno o varios conjuntos del espacio de nombres
(dominios) y de las cuales es responsable. Se dice que son servidores autoritativos de esas
zonas/dominios en cuestión. Por otro lado, hay otro tipo de servidor que almacena conjuntos
de registros de distintas zonas/dominios que obtiene consultando a los correspondientes
servidores autoritativos de las mismas (búsquedas recursivas). Esta información la
almacenan localmente de forma temporal (caché) y la renuevan periódicamente. Son los
llamados servidores caché. Con los servidores de nombres y su intercomunicación se
consigue la distribución y redundancia del espacio de dominios. Con esta organización de
servidores de nombres, y su intercomunicación, se consigue la distribución y redundancia del
espacio de dominios.



Guía de seguridad en servicios DNS



6



 Resolvers: Son servidores caché o programas cliente los cuales se encargan de generar las
consultas necesarias y obtener la información solicitada para ofrecerla al usuario que la
solicita.

ESPACIO DE DOMINIOS DE NOMBRES. JERARQUÍA Y SINTAXIS

 Estructura jerárquica

DNS está compuesto por un espacio de nombres de dominio organizados en jerarquía de árbol donde
se enlazan nodos, cada uno representando un nivel del espacio de dominios. El nivel más alto de
toda la jerarquía es el dominio raíz o root, representado por “.” (punto). Justo un nivel por debajo se
encuentran los Top Level Domains o TLDs. Éstos, a su vez, son nodos padre de otros niveles
inferiores que se conocen como TLDs de segundo nivel. Sucesivamente, la jerarquía continúa ha