3 feb 2011

Transferencias de Zona (II de II)

=========================================================Transferencias de Zona (I de II)Transferencias de Zona (II de II)=========================================================

Buenas a todos, hoy vamos a concluir la cadena de posts sobre Transferencias de Zona, aprendiendo a configurar el servidor de DNS para evitar que se realice una transferencia de zona desde el exterior.Para realizar la configuración vamos a hacer uso de la herramienta dnscmd (Windows). Dnscmd es una aplicación de consola de comandos que se instala junto con el servidor de DNS.Para las pruebas, como no tenía un servidor de DNS a mano, he montado sobre un Microsoft Server 2008 virtualizado un servidor de DNS muy simple, al que he agregado una zona llamada "zonaFlu".Veamos como funciona la herramienta dnscmd. En primer lugar abriremos una consola de comandos y escribiremos su nombre, así desplegaremos el help con todas las opciones que podemos utilizar.Una vez nos hayamos familiarizado con la aplicación, necesitaremos saber el nombre de nuestro servidor, para ello lanzaremos la siguiente instrucción:
dnscmd /Info
Ahora procederemos a listar las distintas zonas que tengamos, de esta manera sabremos el nombre de las zonas que queremos configurar. En nuestro caso será la zona zonaFlu.
dnscmd /enumzones
Ya tenemos los datos necesarios, ahora bastará con ejecutar el siguiente comando para permitir únicamente las transferencias de zona a los servidores DNS mostrados en la zona.
dnscmd NOMBRE-MAQUINA /ZoneResetSecondaries NOMBRE-ZONA /securens
También podemos indicarle un listado de servidores permitidos con el comando /SecureList.Si queremos volver a permitr las transferencias de zona a cualquier servidor utilizaremos la misma sentencia pero sustituyendo /SecureNs por /NonSecure.Eso es todo, como véis los pasos son muy sencillos y es muy recomendable configurar bien las transferencias de zona para evitar casos como el que comentamos en el anterior post de la cadena.Si el servidor de DNS lo tenéis por ejemplo sobre un Bind9 (Linux) podéis utilizar este manual que han publicado en tuxjm.net (no lo he probado). Al parecer en Bind9 las transferencias de zona a cualquier servidor están configuradas por defecto, por lo que es necesario bloquearlo en la primera configuración.La configuración en Bind9 es también muy sencilla, y basta con añadir una línea como la siguiente en la definición de zona de nuestro dominio:, donde IP será el servidor al que se limita la transferencia de zona:
allow-transfer { IP; };
Cualquier aporte al respecto podréis realizarlo en los comentarios o en el foro.Saludos!

Flu Project Team

2 comentarios:

  1. Gran serie de artículos, me ha gustado ;)Es importante poner difícil la recopilación de datos a los 'malvados' xDD

    ResponderEliminar
  2. [...] Tenéis más información sobre cómo realizar la configuración correcta aquí. [...]

    ResponderEliminar