martes, 25 de octubre de 2016

Seguridad de DNS en Windows Server 2016

Una vez más el protocolo DNS se convierte en noticia, en este caso debido a los ataques del pasado viernes que desconectaron de la red a varios de los grandes.... en este caso un ataque distribuido de denegación de servicio donde parece ser que participaron neveras, batidoras y demás utensilios domésticos.

En este tipo de escenarios los proveedores de servicio de Internet son los que deben dividir el trafico y desviar las peticiones maliciosas desde varios puntos de control situados como avanzadilla en la estructura de la organización.

Windows Server 2016 ofrece nuevas características muy interesantes para mejorar la seguridad de los servicios de DNS: 
  • Directivas DNS: El uso de las nuevas directivas de DNS permite controlar las respuestas del servidor en función de unas serie de parámetros como la dirección IP de la consulta o la distancia a un determinado Datacenter, además Server 2016 puede aplicar listas de IP maliciosas y descartar o bloquear ese tráfico, utilizar reglas de Split Brain DNS en respuesta a consultas de distintos ámbitos como clientes externos o internos. 
Las directivas de DNS pueden aplicarse también en zonas integradas con Active Directory, se implementan con cmdlets de Windows PowerShell.

#Directiva DNS para bloquear subred
Add-DnsServerClientSubnet -Name "BlackSubnet" -IPv4Subnet 192.168.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyBlack" –Action IGNORE -ClientSubnet "EQ,BlackSubnet" -PassThru 

  • Soporte para DNS-Based Authentication of Named Entities DANE. Definido en los RFCs 6394 y 6698, utiliza los registros de autenticación Transport Layer Security TLS para proporcionar información sobre la autoridad de certificación CA utilizada para los certificados asociados a los registros de los dominios alojados en el servidor, de esta forma se dificultan algunos de los escenarios MITM asociados a la entrada de registros maliciosos en la cache DNS.
  • Response Rate Limiting. RRL permite configurar la repuesta de peticiones DNS con destino a un mismo cliente, de esta manera se pueden evitar algunos ataques de denegación de servicio por envió masivo de respuestas DNS a un mismo cliente, las opciones que se pueden configurar son las siguientes: respuestas y errores por segundo, ventana, Tasa TC y de perdida, respuestas máximas, listas blancas de dominios, subredes o interfaces. 
 
Además de la implementación de las nuevas características de Windows Server 2016 como directivas y filtros de peticiones, desde versiones anteriores de Windows Server está disponible Domain Name System Security Extensions DNSSEC, un conjunto de extensiones para DNS que aumenta la seguridad del protocolo al habilitar la validación de las respuestas DNS y minimiza el riesgo de una posible suplantación de identidad, el protocolo se especifica en los RFCs 4033, 4034 y 4035.

DNSSEC protege las zonas de resolución de nombres agregando una firma de zona basada en certificados digitales, agregando los siguientes registros: DNSKEY, DS, RRSIG, NSEC y NSEC3.


La tabla de directivas de resolución de nombres NRPT, almacena las opciones de configuración de DNSSEC y DNS de DirectAccess de los equipos cliente. Esta tabla se puede configurar con directivas de grupo GPOs en la siguiente ruta: 
Computer Configuration/ Policies/ Windows Settings/ Name Resolution Policy 

Estas son algunas de las medidas de seguridad que Windows Server 2016 implementa para proteger el servicio de DNS.

Seguridad a lo Jabalí para Todos!!

lunes, 10 de octubre de 2016

Hyper-V Network Virtualization

Proteger redes mediante virtualización no es nuevo, las redes virtuales o VLAN revolucionaron en su momento el diseño y la planificación de las infraestructuras informáticas. El proceso de aislar la comunicación de los equipos en un red local consiste en añadir un encabezado a nivel de capa 2 indicando la red virtual o el VLAN ID para que los dispositivos, generalmente un switch, encaminaran el tráfico etiquetado.

En anteriores versiones de Windows Server se puede utilizar tráfico etiquetado de VLAN con Hyper-V, Windows Server 2016 va un paso más allá, con lo que se denomina Software Defined Networking SDN, entre las tecnologías que participan en esta definición se encuentra la virtualización de red mediante Hyper-V.


Hyper-V Network Virtualization (HNV) permite configurar varias redes lógicas diferentes sobre una misma red de comunicación física. Windows Server 2016 es compatible con HNVv1, pero es en HNVv2 donde los nuevos componentes como Azure Virtual Filtering Platform (VFP) switch extension y Network Controller se pueden utilizar para definir redes virtuales.

Cada red virtual posee un identificador único denominado Routing Domain ID RDID que representa el recurso en el controlador de red y cada subred representa un dominio de broadcast a nivel de capa 3 donde se comunican las máquinas virtuales y se asigna un identificados de subred único o Virtual Subnet ID VSID. El aislamiento del resto de redes se consigue con un método de encapsulado utilizando los protocolos Network Virtualization Generic Routing Encapsulation NVGRE o Virtual eXtensible Local Area Network y el identificador VXLAN Network Identifier VNI. 

Esta disponible información detallada sobre este tema en: Hyper-V Network Virtualization Technical Details in Windows Server Technical Preview

Seguridad a lo Jabalí para Todos!!

viernes, 7 de octubre de 2016

MCSE Cloud Platform and Infrastructure

El proceso de actualización de las nuevas certificaciones de Microsoft sigue su curso, en mi caso particular he obtenido la certificación Microsoft Certified Solutions Expert MCSE en el Área de Cloud y Datacenter.

En Seguridad Jabalí informamos de este proceso de cambio en la ruta de certificaciones profesionales de Microsoft en el artículo: MCSA Cloud Platform


Esta certificación se puede obtener de forma honoraria al acumular una serie de certificaciones profesionales previas en áreas tecnológicas relacionadas. En mi caso Windows Server y Microsoft Azure: MCSE Cloud Platform and Infrastructure

Seguridad a lo Jabalí para Todos!!

domingo, 2 de octubre de 2016

MCSA Cloud Platform

Microsoft sigue apostando por la plataforma en la nube y la prueba esta en las nuevas certificaciones profesionales, en Seguridad Jabalí se comentaba esta política en el post Microsoft Azure Architect, entre las dificultades de obtener esta certificación estaba la diversidad de perfil necesaria, con exámenes de tecnología de desarrollo y también de sistemas para obtener la acreditación Azure Architect.

Windows Server 2016 basa algunas de sus cualidades mas destacables en la tecnología de Azure y Microsoft ofrece la oportunidad de crear estructuras híbridas entre los equipos On-Premises y On-Cloud, las nuevas certificaciones profesionales respaldan este planteamiento.


Una de las nuevas certificaciones es MCSA Cloud Platform, se puede obtener con una serie de exámenes de plataforma en la nube. Es necesario superar dos de los siguientes: 532, 533, 534, 473, 475. Si has superado los exámenes, como es mi caso, la certificación se otorga de forma automática.

En cambio el Microsoft Certified Solutions Expert incluye exámenes de Servidor aglutinados con tecnología de la nube, con varias rutas validas para conseguir la certificación y renovarla posteriormente cada año. MCSE: Cloud Platform and Infrastructure

Paso 1
MCSA: Windows Server 2012
MCSA: Windows Server 2016
MCSA: Cloud Platform
MCSA: Linux on Azure

Paso 2
Superar un examen adicional de los siguientes: 532, 533, 534, 473, 475, 413, 414, 246, 247 y (Pronto Securing Windows Server 2016 seguramente código 744). En mi caso con el MCSA: Cloud Platform y Windows Server 2012 y los tres de Microsoft Azure: 532, 533, 534 creo que debería computarse, pero todavía no me ha llegado.

Microsoft apuesta por la nube ¿y tú?

Seguridad a lo Jabalí para Todos!!

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias