Configurando Servidores DNS seguros

Iniciado por el-brujo, 28 Diciembre 2002, 21:25 PM

0 Miembros y 3 Visitantes están viendo este tema.

el-brujo

Mantener BIND actualizado.

Versión 9.x

Obteniendo información:

nslookup www.ejemplo.com
Server: localhost
Address: 127.0.0.1

Name: www.ejemplo.com
Address: 172.26.105.20

host www.ejemplo.com

www.ejemplo.com has adress 172.26.105.20
www.ejemplo.com mail is handled (pri=10) by mailhost.ejemplo.com
www.ejemplo.com mail is handled (pri=20) by mailbackup.ejemplo.com

Campos de información:

Tipos de registros:

SOA: Autoridad de la zona: Incluye la dirección de correo del administrador del DNS y varios números que señalan los tiempos de actualización, de caché y transferencia.

A: Registros de direcciones: La/s dirección/es que pertenecen a un cierto nombre dé máquina.

CNAME: Nombre cánonico: Para un cierto nombre de máquina, una referencia a otro nombre de máquina, en vez de a una dirección IP. Algo así como un enlace simbólico. Yo a veces le llamo alias, ejemplo, CNAME apuntando a un A.

PTR: Registro Puntero: El nombre de máquina asociado a una dirección IP.

HINFO: Información de una máquina: La arquitectura y el sistema operativo de esa máquina.

TXT: Texto descriptivo: Otro texto descriptivo sobre esa máquina, normalmente su propósito y su ubicación.

RP: Persona responsable: La dirección de correo de la persona responsable de es máquina.

Los registros HINFO y TXT no son necesarios.

Transferencia de zonas

Aqui empieza lo divertido.

Editar el fichero named.conf

Añadiendo un dns secundario (esclavo)

zone "elhacker.net" {
type slave; file "slave/elhacker.net";
   masters { 217.125.24.22; 217.125.24.23; };

Los servidores dns secundarios deben poder realizar transferencias de zonas con el servidor primario, de tal forma que mantengan toda su información actualizada. SIN EMBARGO, NO DEBERIAS PERMITIR A NINGUNA OTRA MAQUINA REALIZAR ESTE TIPO DE TRANSFERNCIAS.

Veamos esto ultimamente.

Si quieres permitir allow-transfers, hazlo bien almenos:

options {
...

allow-transfers {217.125.24.22;};
....
}

zone "elhacker.net"{
type master;
file "master/elhacker.net";
allow-transfers {192.168.14.20; 192.168.80.29;};
};

zone "elhacker.info"{
type master;
file "master/elhacker.net"
};

zone "elhacker.dot" {
type slave;
masters { 10.14.102.18; };
file "slave/elhacker.dot";
allow-transfers { none; };
}

Con esta configuracón, el dominio elhacker.INFO únicamente permitiría solicitudes de la transferncias de zona desde 217.125.24.22 (debido a las opciones globales). El dominio elhacker.net puede ser solo transferido por 192.168 etc y ninguna otra maquina podria hacer una transferencia del dominio elhacker.dot

Búsquedas inversas.

Las búsquedas inversas son una forma de obtener nombres de máquina partiendo de direcciones IP.

ftpserver IN CNAME 217-125-24-22
217-125-24-22 IN A 217.125.24.22

$ORIGIN 105.26.172.IN-ADDR.ARPA
85 IN PTR 217-125-24-22.elhacker.net

Asegurate que:

1.host ftpserver.elhacker.net
ftpserver.elhacker.net is a nickname for host 217-125-24-22.elhacker.net

host 217-125-24-22 has address 217.125.24.22

2. host 217-125-24-22.elhacker.net

217-125-24-22.elhacker.net has address 217.125.24.22

3. host 217.125.24.22
217-125-24-22.elhacker.net has address 217.125.24.22


Corrupción de la caché de BIND

Solo ocurre con versiones viejas de BIND.

Pero lo mejor es utilizar para tu servicio de nombres dos clases: uno interno y otro externo.

Si es posible ejecuta estos dos servidores de nombres de maquinas en maquinas distintas.

Listas  de acceso ACL en etc/named.conf

//servidor de nombres interno
acl "red-iterna"{
localhost; // importante!
10.0.0.0/24; // nuestas direcciones internas traducidas
};

Luego aplica esta lista de acceso añadiendo el siguiente bloque "options" en el fichero /etc/named.conf

//servidor de nombres interno
options{
allow-query { red-interna };
};

Caché:

//servidor de nombres externo
options
recursion no; // no responderás a consultas de zonas que no controles!
};

Si tienes varios servidores de nombres externos (deberia ser asi)

//servidor de nombres externo
acl "nuestros-servidores-dns"{
172.16.1.2 // ns1.example.com
172.16.2.2 // ns2.example.com
192.168.5.3 // ns3.example.com

zone "elhacker.net" { // nuestro nombre de dominio)
type master;
file "master/elhacker.net";
allow-query{
any; //todos pueden preguntar a este dominio!
};
allow-transfer{
nuestros-servidores-dns; // pero solo los servidores pueden transferir zonas
};
};

DNS Spoof.

Utilizar DNS Security (DNSSEC) que permite a los servidores DNS firmar sus respuestas.


Información sacada del libro:

"Hackers en Linux" de la editorial Mc-Graw Hill

Lolaine

-------
Dios es real, a no ser que se declare como entero