martes, 25 de octubre de 2016

Seguridad de DNS en Windows Server 2016

Una vez más el protocolo DNS se convierte en noticia, en este caso debido a los ataques del pasado viernes que desconectaron de la red a varios de los grandes.... en este caso un ataque distribuido de denegación de servicio donde parece ser que participaron neveras, batidoras y demás utensilios domésticos.

En este tipo de escenarios los proveedores de servicio de Internet son los que deben dividir el trafico y desviar las peticiones maliciosas desde varios puntos de control situados como avanzadilla en la estructura de la organización.

Windows Server 2016 ofrece nuevas características muy interesantes para mejorar la seguridad de los servicios de DNS: 
  • Directivas DNS: El uso de las nuevas directivas de DNS permite controlar las respuestas del servidor en función de unas serie de parámetros como la dirección IP de la consulta o la distancia a un determinado Datacenter, además Server 2016 puede aplicar listas de IP maliciosas y descartar o bloquear ese tráfico, utilizar reglas de Split Brain DNS en respuesta a consultas de distintos ámbitos como clientes externos o internos. 
Las directivas de DNS pueden aplicarse también en zonas integradas con Active Directory, se implementan con cmdlets de Windows PowerShell.

#Directiva DNS para bloquear subred
Add-DnsServerClientSubnet -Name "BlackSubnet" -IPv4Subnet 192.168.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyBlack" –Action IGNORE -ClientSubnet "EQ,BlackSubnet" -PassThru 

  • Soporte para DNS-Based Authentication of Named Entities DANE. Definido en los RFCs 6394 y 6698, utiliza los registros de autenticación Transport Layer Security TLS para proporcionar información sobre la autoridad de certificación CA utilizada para los certificados asociados a los registros de los dominios alojados en el servidor, de esta forma se dificultan algunos de los escenarios MITM asociados a la entrada de registros maliciosos en la cache DNS.
  • Response Rate Limiting. RRL permite configurar la repuesta de peticiones DNS con destino a un mismo cliente, de esta manera se pueden evitar algunos ataques de denegación de servicio por envió masivo de respuestas DNS a un mismo cliente, las opciones que se pueden configurar son las siguientes: respuestas y errores por segundo, ventana, Tasa TC y de perdida, respuestas máximas, listas blancas de dominios, subredes o interfaces. 
 
Además de la implementación de las nuevas características de Windows Server 2016 como directivas y filtros de peticiones, desde versiones anteriores de Windows Server está disponible Domain Name System Security Extensions DNSSEC, un conjunto de extensiones para DNS que aumenta la seguridad del protocolo al habilitar la validación de las respuestas DNS y minimiza el riesgo de una posible suplantación de identidad, el protocolo se especifica en los RFCs 4033, 4034 y 4035.

DNSSEC protege las zonas de resolución de nombres agregando una firma de zona basada en certificados digitales, agregando los siguientes registros: DNSKEY, DS, RRSIG, NSEC y NSEC3.


La tabla de directivas de resolución de nombres NRPT, almacena las opciones de configuración de DNSSEC y DNS de DirectAccess de los equipos cliente. Esta tabla se puede configurar con directivas de grupo GPOs en la siguiente ruta: 
Computer Configuration/ Policies/ Windows Settings/ Name Resolution Policy 

Estas son algunas de las medidas de seguridad que Windows Server 2016 implementa para proteger el servicio de DNS.

Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias