DNS (Sistema de nombres de dominio) es un método con una larga historia. Puede asignar nombres de dominio a computadoras con direcciones IP para que las computadoras tengan nombres de caracteres. Por ejemplo, la computadora con la dirección IP 207.46.193.254 es el servidor de Microsoft www. microsoft.com. DNS está bien diseñado y funciona muy bien la mayor parte del tiempo. Sin embargo, siempre hay algunas situaciones insatisfactorias y esto sucederá, causando dolores de cabeza a los administradores. Entonces, ¿cómo encontrar las pistas de su fracaso? ¿Cuáles son algunas áreas de su sistema DNS que no son ideales?
¿Hay algún patrón a seguir? La respuesta es sí. Aquí tienes siete pecados de los servidores DNS para tu referencia:
1. Utilice una versión antigua de BIND.
Bind, como software de servidor DNS de código abierto, es actualmente el software de servidor DNS más utilizado en el mundo. Casi la mayoría de las versiones anteriores de BIND tienen vulnerabilidades graves y bien conocidas. Los atacantes pueden aprovechar estas vulnerabilidades para desactivar nuestros servidores de nombres DNS y comprometer los hosts que los ejecutan. Por lo tanto, debe asegurarse de utilizar el BIND más reciente y parchearlo a tiempo.
2. Coloque todos los servidores de nombres de dominio importantes en la misma subred.
En este caso, la falla de un equipo, como un conmutador o enrutador, o una falla en la conexión de red impediría que los usuarios de Internet accedan a su sitio web o le envíen correos electrónicos.
3. Permitir la recursividad a consultas no autorizadas.
Si se establece en la siguiente situación:
(recursión sí|no; [sí] permitir-recursión { lista_partida_direcciones }; |
No es seguro. Aquí, la opción de recursividad especifica si Name consulta otros servidores de nombres de dominio en nombre del cliente. Los servidores de nombres generalmente no están configurados para desactivar la recursividad. Al menos deberíamos permitir la recursividad para nuestros propios clientes, pero deshabilitar la recursividad para consultas externas. Porque si puede manejar consultas recursivas para cualquier cliente, expondrá el servidor de nombres a ataques de envenenamiento de caché y denegación de servicio.
4. Permitir que servidores de nombres secundarios no autorizados realicen transferencias de zona.
Transferencia de zona se refiere al proceso de copiar archivos de bases de datos de zona entre múltiples servidores DNS. Si proporciona servicios de transferencia de zona a solicitantes arbitrarios, expondrá el servidor de nombres de dominio a los atacantes, lo que provocará que el servidor falle.
5. No se utiliza ningún reenviador de DNS.
Un reenviador de DNS es un servidor que realiza consultas de DNS en nombre de otros servicios de DNS. Muchos programas de servidores de nombres, incluidos los servidores DNS de Microsoft y algunos servidores de nombres BIND más antiguos, no se protegen adecuadamente contra el envenenamiento de la caché, y otros programas de servidores DNS también tienen vulnerabilidades que pueden ser explotadas por respuestas maliciosas. Pero muchos administradores permiten que estos servidores de nombres consulten otros servidores de nombres en Internet directamente, sin utilizar ningún reenviador.
6. Establecer incorrectamente el valor de Inicio de autoridad (SOA).
SOA marca el comienzo de los datos de la zona y define parámetros que afectan a toda la zona. Muchos administradores establecen el valor de la zona demasiado bajo, lo que puede causar interrupciones en el sistema cuando las consultas de vaciado o las transferencias de zona comienzan a fallar. Desde que RFC redefinió SOA, algunas personas han restablecido el TTL de almacenamiento en caché negativo, lo que hace que sea demasiado alto.
7. Registros NS no coincidentes en datos de autorización y zona.
Algunos administradores agregan o eliminan servidores de nombres primarios pero se olvidan de realizar los cambios correspondientes en los datos de delegación de su zona (los llamados datos de delegación). Esto ampliará el tiempo que lleva resolver los nombres de dominio y reducirá la flexibilidad.
Por supuesto, estos son sólo algunos errores comunes que pueden cometer los administradores, pero pueden servir como referencia básica para configurar su servidor DNS.