Seguridad en DNS

Los servidores DNS son servidores se infraestructura y críticos en la red, por lo que son objetivos de ataques.

El servicio DNS de Microsoft incluye varias medidas de seguridad como:

-DNS Cache Locking

-DNS Socket Pool

-DNSSec

Hoy vamos a hablar de DNSSec:

Es un estándar que permite proteger mediante firma digital los registros de un servidor DNS.

Nos permite detectar si un registro DNS ha sido modificado de forma no autorizada, tanto en tránsito como en el propio servidor.

DNSSec firma cada uno de los registros DNS.  El servidor cifra los registros con su clave privada y los clientes los descifran con su clave pública, garantizando la integridad.

Las claves públicas deben ser accesibles para todos los clientes y se almacenan en los DNSKey.

Estas claves privadas se almacenan en los Trust Anchors (anclas de confianza).

La protección con DNSSec requiere de varias claves:

– KSK (Key-Signing Key): Es la clave maestra y se usa para cifrar y firmar otras claves.

– ZSK (Zone-Signing Key): Claves que se utilizan para firmar las zonas y que se almacenan cifradas con la KSK.

La protección se aplica a nivel de zonas. Al firmar (proteger) una zona, se crean en ella varios registros:

– DNSKey: Guarda la clave pública de la zona.

– DS (Delegation Signer): Se utiliza cuando en la zona hay una delegación de zona para un subdominio. Guarda el hash de la clave pública de la zona hija.

– RRSIG (Resource Record Signature): Se crea un RRSIG por cada registro y guarda su firma digital.

– NSEC (Next Secure): Se utiliza para indicar un Denial of Existence(indica al cliente que el registro por el que pregunta no existe).

En las últimas versiones de DNSSec se utiliza NSEC3.

Para configurar DNSSec vamos a la consola de Server Manager y abrimos la pestaña Tools, como se muestra en la imagen:

En la consola de DNS Manager en Forward Lookup Zones escogemos la zona de adatum.com y con el botón derecho del ratón obtenemos acceso a las siguientes opciones que se pueden apreciar en la imagen:

La primera pantalla que nos aparece es una pantalla explicativa sobre DNSSec

Para firmar la zona con DNSSec tenemos 3 opciones:

-Personalizar la configuracion, que es la opcion escogida

-Firmar la zona con la configuracion de otra zona firmada anteriormente, que no es nuestro caso

-Por defecto: opcion que firmaria la zona pero sin nosostros ver nada de la configuracion

Tenemos que elegir quien va a ser el Key Master de la zona que vamos a firmar.

Empieza la configuración de  KSK  que es la clave maestra y se usa para cifrar y firmar otras claves.

Aquí podemos configurar varios parámetros de seguridad como algoritmo criptográfico que se va a utilizar, la longitud de la clave y la validez de la DNSKey (guarda la clave pública de la zona) que por defecto son 7 días.

La configuración de la KSK está terminada.

Configuracion de la ZSK (clave que se utiliza para firmar las zonas), se almacena cifrada con la KSK.

Aquí también podemos personalizar los parámetros de seguridad de la clave como algoritmo criptográfico que se va a utilizar, la longitud de la clave y la validez de la DNSKey, así como la validez de la DS (se utiliza cuando en la zona hay una delegación de zona para un subdominio) que es quien guarda el hash de la clave pública de la zona hija.

Acabada la configuración de la ZSK.

Podemos escoger utilizar NSEC3 quien indica al cliente que el registro por el que pregunta no existe o  NSEC para equipos antiguos.

Habilitamos las 2 casillas de las anclas de confianza (donde se guardan las claves privadas) para distribuirlas en todos los DNS de los controladores de dominio del bosque.

Podemos escoger algoritmos de cifrado y el TTL (tiempo de vida) de los DNSKey (guarda la clave pública de la zona)  y DS (se utiliza cuando en la zona hay una delegación de zona para un subdominio) que es quien guarda el hash de la clave pública de la zona hija.

El termino “inception” hace referencia al tiempo que tarda en replicar la zona firmada a los DNS hijos.

La zona ha sido firmada con éxito.

Como se puede apreciar en la imagen, el candado nos indica que la zona está firmada y observamos la aparición de nuevos registros como RRSIG (se crea un RRSIG por cada registro y guarda su firma digital).

En los puntos de confianza de la zona de adatum es donde se guardan  las claves privadas (anclas de confianza).

Esto ha sido todo.

Gracias por su tiempo.

 

Autor: Daniel Munteanu

Curso: Microsoft MCSE Private Cloud

Centro: Tajamar

Año académico: 2015-2016