Asegurar BIND
•
0 recomendaciones•256 vistas
El documento describe las amenazas a la seguridad del sistema de nombres de dominio (DNS) debido a su falta de autenticación y encriptación. DNS es escalable y disponible pero fácilmente vulnerable a ataques como la suplantación de respuestas, el envenenamiento de caché y la denegación de servicio. La implementación de DNSSEC ayuda a corregir estos problemas mediante la autenticación y firma digital de las respuestas DNS.
Más contenido relacionado
La actualidad más candente
Similar a Asegurar BIND
Similar a Asegurar BIND (20)
Último
Último (20)
Asegurar BIND
- 1. Asegura tu servicio de nombres TALLER DE CONFIGURACION DE DNSSEC
- 2. Domain Name System u Nace en 1983 en sustitución del modelo host existente u Sirve como traductor (guía de teléfonos) de nombres fácilmente recordables a direcciones IP… y viceversa u Es una base de datos, consistente, jerárquica, distribuida y delegada u Las zonas de autoridad evitan la duplicación de registros u Se parte de un nodo central que va delegando en zonas de autoridad los subdominios creados, topología tipo árbol u Cada zona de autoridad es responsable de sus recursos u A su vez puede crear subdominios propios o delegarlos en nuevas zonas u Su diseño lo hace extremadamente escalable y disponible… e inseguro 2
- 3. Escalable y disponible u Utiliza mayoritariamente UDP. Recordemos qué es stateless y qué significa u Las respuestas se cachean para acelerar la disponibilidad de la resolución u No ofrece método de autentificación u ergo……. ¡¡¡FACILMENTE SUPLANTAR LAS RESPUESTAS!!! 3
- 4. Estructura de una petición 4 DNS k.root-servers.net g.nic.es Dns2.meh.es ns1.dgcatastro.net www.catastro.meh.es. 1 2 3 4 5 6 7 89 1 3 5 7 9
- 5. Amenazas a una petición 5 DNS k.root-servers.net g.nic.es Dns2.meh.es ns1.dgcatastro.net www.catastro.meh.es. Hacker inside
- 6. Información expuesta 6 u El servidor DNS mantiene mucha información que es valiosa para planificar otros ataques: u Información de nuestra red interna u Información de nuestros servicios básicos de red u Información de los productos que utilizamos u Información de los servicios a los que accedemos u No hace falta una transferencia de la zona para conseguirla. La caché es una buena fuente u Hay que suministrar sólo la información justa
- 7. Envenenamiento de caché 7 u Ataque basado en lo previsible u Se ha mitigado con las nuevas versiones pero aun es posible u El envenamiento de la caché ofrece al atacante la posibilidad de: u Suplantación de recursos propios u Obtención de información de nuestros clientes u Ataques de denegación de servicio
- 8. Denegación de servicio u DNS es un estupendo vector de ataques SMURF (amplificador) u Utiliza UDP (No se puede verificar la fuente) u Puede generar respuestas mucho más grandes que las preguntas. En el ejemplo 64 bytes * 677 bytes y no es de los malos u Deshabilitar la recursividad u options { recursion no; }; u Permitir sólo consultas de clientes permitidos u options { allow-query {192.168.1.0/24;};}; 8
- 9. Por si fuera poco… u Problemas de MitM entre Registradores-Maestros y Maestros- Esclavos u Problemas de vulnerabilidades de servidor en Maestros y Esclavos u Problemas de MitM entre Forwarders y Esclavos u Problemas de MitM entre clientes y Forwarders u Problemas de suplantación entre Forwarders y Esclavos u Problemas de suplantación entre clientes y Forwarders ¡¡¡Todos los problemas de resolución quedan corregidos con DNSSEC!!! 9
- 10. Es una amenaza real u Múltiples exploits disponibles 10
- 11. Es una amenaza real u Múltiples exploits disponibles 11
- 12. Es una amenaza real u Múltiples exploits disponibles u Bastantes ya lo han conseguido 12
- 13. Es una amenaza real u Múltiples exploits disponibles u Bastantes ya lo han conseguido u Afecta a los recursos y a la reputación 13
- 14. ¿Mitigar o corregir? u Mitigar: u Seguir buenas prácticas (chrooting del servicio, bastionado, monitorización, actualización) u Eliminar la recursividad en maestros u Ocultar la versión u Arquitectura stealh u ACLs u Corregir: u DNSSEC u Llamar a 36bootis.com J 14 Ideal: Recursion enabled y versión antigua
- 15. 15 © 2015, Fernando Parrondo para 36bootis.com Esta obra está sujeta a la licencia Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-nc- sa/4.0/