13 ene 2020

Tips para fortificar el DNS de tu infraestructura en Windows Server & Client

El protocolo DNS permite resolver mediante una consulta, el nombre de un recurso facilitando una determinada dirección de red en IPv4 o IPv6 a ese servicio o aplicación. Los diferentes recursos se agrupan en Zonas de Búsqueda que corresponden con un determinado nombre de dominio. Además existen Zonas de búsqueda inversa que proporcionan el nombre del recurso correspondiente a una determinada dirección IP.

Los servidores que resuelven las consultas DNS son un recurso crítico dentro de cualquier organización y especialmente importantes en la resolución de servicios dentro de Active Directory, por lo tanto, deben protegerse de forma adecuada para evitar ataques conocidos o de suplantación en la resolución de recursos.

Microsoft proporciona una serie de características que permiten implementar mejoras en la seguridad de un entorno que utilice resolución de recursos mediante el protocolo DNS. Además los registros de la actividad de DNS pueden ayudar a detectar intrusiones y accesos no autorizados a la red.

DNS Cache Locking & DNS Socket Pool

Habilitar el bloqueo de caché del servidor DNS evita la sobrescritura de registros en caché durante la duración del valor TTL o una parte de él. El bloqueo de caché se configura como un valor porcentual.

El DNS cache locking se puede configurar con los comandos:

  • Dnscmd /Config /CacheLockingPercent [percent]
  • Set-DnsServerCache –LockingPercent [value] 
DNS socket pool está habilitado de forma predeterminada en Windows Server 2016, permite que un servidor DNS use la aleatorización del puerto de origen cuando emite consultas DNS. El tamaño predeterminado del grupo de sockets DNS es de 2.500, el rango a configurar es un valor de 0 a 10,000, a mayor valor aumenta la protección contra Ataques de suplantación de DNS.


Domain Name System Security Extensions DNSSEC

DNSSEC permite firmar criptográficamente una zona DNS y todos los registros de zona, el cliente puede validar la respuesta DNS. Esta característica ayuda a proteger contra falsificación de registros. En DNS Trust anchors es la DNSKEY o registro de recursos de firmante de delegación Delegation Signer (DS). Los clientes usan estos registros para construir cadenas de confianza.

DNSSEC funciona de la siguiente manera:

  1. Si una zona se ha firmado digitalmente, una respuesta de consulta contendrá firmas digitales. 
  2. DNSSEC usa Trust Anchors, zonas especiales para almacenar claves asociadas con firmas digitales.
  3. Los Resolvers usan esos anclajes de confianza para recuperar las claves y crear cadenas de confianza. 
  4. DNSSEC requiere Trust Anchors configurados en todos los servidores DNS que participan en DNSSEC. 
  5. DNSSEC usa NRPT, con reglas que controlan el comportamiento del cliente para las consultas.

DNS Policies

Las políticas de DNS proporcionan control sobre las respuestas de los servidores DNS, desde dirigir a los clientes al servidor más eficiente, optimizar el tráfico o la resolución de los clientes en el centro de datos más cercano, en función de la ubicación del cliente. Filtración y/o bloqueo de peticiones maliciosas. Redirección basada en tiempo. Estas directivas de DNS se configuran con Windows PowerShell como en los siguientes ejemplos.

Add-DnsServerClientSubnet -Name “LondonSubnet” -IPv4Subnet “172.16.0.0/24” 
Add-DnsServerZoneScope -ZoneName "adatum.com" -Name "adatum_england" 
Add-DnsServerResourceRecord -ZoneName “adatum.com” -A -Name “www” -IPv4Address 172.16.0.50 -ZoneScope “adatum_england” 
Add-DnsServerQueryResolutionPolicy -Name EnglandPolicy -Action ALLOW -ClientSubnet ‘eq,LondonSubnet’ -ZoneScope ‘adatum_england,1’ -ZoneName adatum.com 
Get-DnsServerQueryResolutionPolicy -ZoneName adatum.com
Response Rate Limiting (RRL)

RRL es una nueva característica de Windows Server 2016 que ayuda a proteger contra los ataques de amplificación de DNS, en la que se falsifica la dirección IP de la víctima e inundan los servidores DNS con muchas consultas. El servidor DNS responde a las consultas hacia la red de la víctima que recibe una gran cantidad de respuestas DNS no deseadas.

Un servidor DNS de Windows con RRL habilitado establece un límite en la cantidad de respuestas similares que enviará a los clientes desde la misma subred.


DNS-based Authentication of Named Entities (DANE)

DANE (RFC 6394 and 6698) permite especificar un autoridad de certificación (CA) determinada para los servidores DNS. Los clientes DNS pueden utilizar esta información para determinar si una respuesta DNS en particular es válida. Esto ayuda a prevenir ataques Man In The Middle para suplantar solicitudes DNS y redirigir a una dirección IP maliciosa.

El Servicio de DNS es fundamental para cualquier organización, una correcta administración de este servicio permite incrementar la seguridad de toda la Red y los servicios relacionados con la resolución de recursos. El firmado de Zonas y las Políticas de DNS pueden impedir ataques conocidos del protocolo DNS y que los servidores sean utilizados para participar en ataques involuntarios contra otras organizaciones.

https://docs.microsoft.com/es-es/windows-server/networking/dns/what-s-new-in-dns-server


Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows de hackersClub, MCT Microsoft Certified Trainer, Microsoft MVP Cloud and Datacenter Management, Microsoft Certified Azure Architect Expert, Editor en www.seguridadjabali.com y Autor del libro Windows Server 2016: Administración, seguridad y operaciones. Editorial 0xWord

No hay comentarios:

Publicar un comentario