Principios básicos para asegurar BIND

1. Asegura tu servicio de
nombres
TALLER DE CONFIGURACION DE DNSSEC

2. Domain Name System
u Nace en 1983 en sustitución del modelo host existente
u Sirve como traductor (guía de teléfonos) de nombres fácilmente
recordables a direcciones IP… y viceversa
u Es una base de datos, consistente, jerárquica, distribuida y delegada
u Las zonas de autoridad evitan la duplicación de registros
u Se parte de un nodo central que va delegando en zonas de autoridad los
subdominios creados, topología tipo árbol
u Cada zona de autoridad es responsable de sus recursos
u A su vez puede crear subdominios propios o delegarlos en nuevas zonas
u Su diseño lo hace extremadamente escalable y disponible… e inseguro
2

3. Escalable y disponible
u Utiliza mayoritariamente UDP. Recordemos qué es stateless y qué
significa
u Las respuestas se cachean para acelerar la disponibilidad de la
resolución
u No ofrece método de autentificación
u ergo…….
¡¡¡FACILMENTE SUPLANTAR LAS RESPUESTAS!!!
3

4. Estructura de una petición
4
DNS
k.root-servers.net
g.nic.es
Dns2.meh.es
ns1.dgcatastro.net
www.catastro.meh.es.
1
2
3
4
5
6
7
89
1
3
5
7
9

5. Amenazas a una petición
5
DNS
k.root-servers.net
g.nic.es
Dns2.meh.es
ns1.dgcatastro.net
www.catastro.meh.es.
Hacker inside

6. Información expuesta
6
u El servidor DNS mantiene mucha información que es valiosa para
planificar otros ataques:
u Información de nuestra red interna
u Información de nuestros servicios básicos de red
u Información de los productos que utilizamos
u Información de los servicios a los que accedemos
u No hace falta una transferencia de la zona para conseguirla. La
caché es una buena fuente
u Hay que suministrar sólo la información justa

7. Envenenamiento de caché
7
u Ataque basado en lo previsible
u Se ha mitigado con las nuevas versiones
pero aun es posible
u El envenamiento de la caché ofrece al
atacante la posibilidad de:
u Suplantación de recursos propios
u Obtención de información de nuestros
clientes
u Ataques de denegación de servicio

8. Denegación de servicio
u DNS es un estupendo vector de ataques
SMURF (amplificador)
u Utiliza UDP (No se puede verificar la fuente)
u Puede generar respuestas mucho más grandes
que las preguntas. En el ejemplo 64 bytes * 677
bytes y no es de los malos
u Deshabilitar la recursividad
u options { recursion no; };
u Permitir sólo consultas de clientes permitidos
u options { allow-query {192.168.1.0/24;};};
8

9. Por si fuera poco…
u Problemas de MitM entre Registradores-Maestros y Maestros-
Esclavos
u Problemas de vulnerabilidades de servidor en Maestros y Esclavos
u Problemas de MitM entre Forwarders y Esclavos
u Problemas de MitM entre clientes y Forwarders
u Problemas de suplantación entre Forwarders y Esclavos
u Problemas de suplantación entre clientes y Forwarders
¡¡¡Todos los problemas de resolución quedan corregidos con DNSSEC!!!
9

10. Es una amenaza real
u Múltiples exploits
disponibles
10

11. Es una amenaza real
u Múltiples exploits
disponibles
11

12. Es una amenaza real
u Múltiples exploits
disponibles
u Bastantes ya lo han
conseguido
12

13. Es una amenaza real
u Múltiples exploits
disponibles
u Bastantes ya lo han
conseguido
u Afecta a los recursos
y a la reputación
13

14. ¿Mitigar o corregir?
u Mitigar:
u Seguir buenas prácticas (chrooting del servicio, bastionado,
monitorización, actualización)
u Eliminar la recursividad en maestros
u Ocultar la versión
u Arquitectura stealh
u ACLs
u Corregir:
u DNSSEC
u Llamar a 36bootis.com J
14
Ideal:
Recursion enabled y versión antigua

15. 15
© 2015, Fernando Parrondo para 36bootis.com
Esta obra está sujeta a la licencia
Reconocimiento-NoComercial-CompartirIgual 4.0
Internacional de Creative Commons. Para ver una
copia de esta licencia, visite
http://creativecommons.org/licenses/by-nc-
sa/4.0/