0 Bewertungen0% fanden dieses Dokument nützlich (0 Abstimmungen)
83 Ansichten9 Seiten
SEGURIDAD EN DNS
Información de seguridad para DNS El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo abierto y, por tanto, es vulnerable a intrusos. Antes de considerar qué características de seguridad utilizar, deberá conocer las amenazas comunes para la seguridad DNS y los niveles de seguridad DNS de su organización. Amenazas para la seguridad DNS Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS:
•
La oc
SEGURIDAD EN DNS
Información de seguridad para DNS El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo abierto y, por tanto, es vulnerable a intrusos. Antes de considerar qué características de seguridad utilizar, deberá conocer las amenazas comunes para la seguridad DNS y los niveles de seguridad DNS de su organización. Amenazas para la seguridad DNS Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS:
•
La oc
Copyright:
Attribution Non-Commercial (BY-NC)
Verfügbare Formate
Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
SEGURIDAD EN DNS
Información de seguridad para DNS El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo abierto y, por tanto, es vulnerable a intrusos. Antes de considerar qué características de seguridad utilizar, deberá conocer las amenazas comunes para la seguridad DNS y los niveles de seguridad DNS de su organización. Amenazas para la seguridad DNS Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS:
•
La oc
Copyright:
Attribution Non-Commercial (BY-NC)
Verfügbare Formate
Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
El sistema de nombres de dominio (DNS, Domain Name System) se
diseñó originalmente como un protocolo abierto y, por tanto, es vulnerable a intrusos. Antes de considerar qué características de seguridad utilizar, deberá conocer las amenazas comunes para la seguridad DNS y los niveles de seguridad DNS de su organización.
Amenazas para la seguridad DNS
Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS:
• La ocupación es el proceso mediante el cual un intruso obtiene
los datos de zona DNS para obtener los nombres de dominio DNS, nombres de equipo y direcciones IP de recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos DNS para obtener un diagrama u ocupación, de una red. Los nombres de equipo y dominio DNS suelen indicar la función o ubicación de un dominio o equipo para ayudar a los usuarios a recordar e identificar los dominios y equipos con mayor facilidad. Un intruso se aprovecha del mismo principio DNS para aprender la función o ubicación de dominios y equipos en la red. • Un ataque por servicio denegado se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzará su nivel máximo y el servicio del Servidor DNS dejará de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarán de estar disponibles para los usuarios de la red. • La modificación de datos es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP válidas en paquetes IP que ha creado él mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una dirección IP válida de la red. Esto se denomina comúnmente IP ficticia. Con una dirección IP válida (una dirección IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque. • La redirección se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que él controle. Un método de redirección incluye el intento de contaminar la caché DNS de un servidor DNS con datos DNS erróneos que pueden dirigir consultas futuras a servidores que controle el intruso. Por ejemplo, si se realizó una consulta originalmente para ejemplo.microsoft.com y la respuesta de referencia proporcionó el registro de un nombre externo al dominio microsoft.com, como usuario-malintencionado.com, el servidor DNS utilizará los datos de la caché de usuario-malintencionado.com para resolver la consulta de dicho nombre. La redirección puede realizarse siempre que el intruso disponga de acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones dinámicas no seguras.
Reducir las amenazas para la seguridad DNS
DNS puede configurarse para que se reduzcan los problemas de
seguridad DNS comunes expuestos anteriormente La siguiente tabla muestra las cinco áreas principales que hay que atender al establecer la seguridad DNS.
Tres niveles de seguridad DNS
Los siguientes tres niveles de seguridad DNS le ayudarán a
comprender su configuración DNS actual y le permitirán aumentar la seguridad DNS de su organización. Seguridad de bajo nivel
La seguridad de bajo nivel es una implementación DNS estándar sin
precauciones de seguridad configuradas. Implemente este nivel de seguridad DNS únicamente en entornos de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no existan amenazas de conectividad externa.
• La infraestructura DNS de su organización está completamente
expuesta a Internet. • Todos los servidores DNS de su red realizan resolución DNS estándar. • Todos los servidores DNS están configurados con sugerencias de raíz dirigidas a los servidores raíz para Internet. • Todos los servidores DNS permiten transferencias de zona a cualquier servidor. • Todos los servidores DNS están configurados para atender en todas sus direcciones IP. • La prevención de contaminación de la caché se encuentra deshabilitada en todos los servidores DNS. • La actualización dinámica se permite en todas las zonas DNS. • El puerto 53 del Protocolo de datagramas de usuario (UDP, User Datagram Protocol) y el Protocolo de control de transmisión/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) está abierto en el servidor de seguridad de su red tanto para direcciones de origen como de destino.
Seguridad de nivel medio
La seguridad de nivel medio utiliza las características de seguridad
DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active Directory. • La infraestructura DNS de su organización tiene una exposición a Internet limitada. • Todos los servidores DNS están configurados para utilizar reenviadores orientados a una lista específica de servidores DNS internos cuando no puedan resolver nombres de manera local. • Todos los servidores DNS limitan las transferencias de zona a los servidores indicados en los registros de recursos de servidor de nombres (NS, Name Server) de sus zonas. • Los servidores DNS están configurados para atender en las direcciones IP especificadas. • La prevención de contaminación de la caché se encuentra habilitada en todos los servidores DNS. • La actualización dinámica no segura no se permite en ninguna zona DNS. • Los servidores DNS internos se comunican con servidores DNS externos a través del servidor de seguridad mediante una lista limitada de las direcciones de origen y destino permitidas. • Los servidores DNS externos que hay delante de su servidor de seguridad están configurados con sugerencias de raíz dirigidas a los servidores raíz para Internet. • Toda la resolución de nombres de Internet se realiza utilizando servidores proxy y puertas de enlace.
Seguridad de alto nivel
La seguridad de alto nivel utiliza la misma configuración que la de
nivel medio y además utiliza las características de seguridad disponibles cuando el servicio del Servidor DNS se está ejecutando en un controlador de dominio y las zonas DNS se almacenan en Active Directory. Además, la seguridad de alto nivel elimina por completo la comunicación DNS con Internet. Esta no es una configuración típica, aunque es la recomendada siempre que no sea necesaria la conectividad con Internet.
• La infraestructura DNS de su organización no tiene
comunicación con Internet a través de servidores DNS internos. • Su red utiliza una raíz y un espacio de nombres DNS internos, en la que toda la autoridad para zonas DNS es interna. • Los servidores DNS configurados con reenviadores sólo utilizan direcciones IP del servidor DNS interno. • Todos los servidores DNS limitan las transferencias de zona a direcciones IP especificadas. • Los servidores DNS están configurados para atender en las direcciones IP especificadas. • La prevención de contaminación de la caché se encuentra habilitada en todos los servidores DNS. • Los servidores DNS internos están configurados con sugerencias de raíz dirigidas a los servidores DNS internos que alojan la zona raíz para su espacio de nombres interno. • Todos los servidores DNS se ejecutan en controladores de dominio. En el servicio Servidor DNS se configura una lista de control de acceso discrecional (DACL, Discretionary Access Control List) para que sólo permita realizar tareas administrativas en el servidor DNS a usuarios específicos. • Todas las zonas DNS se almacenan en Active Directory. La DACL está configurada para que sólo permita crear, eliminar o modificar zonas DNS a usuarios específicos. • Las DACL están configuradas en los registros de recursos DNS para que sólo permitan crear, eliminar o modificar datos DNS a usuarios específicos. • La actualización dinámica segura se configura para las zonas DNS, excepto en las zonas raíz y de nivel superior, que no permiten las actualizaciones dinámicas. Configuracion de servidor de correo - Presentation Transcript
Con los Servicios de correo electrónico, puede instalar componentes
en su equipo para configurarlo como un servidor de correo. Los Servicios de correo electrónico incluyen el servicio Protocolo de oficina de correo 3 (POP3) y el servicio Protocolo simple de transferencia de correo (SMTP), que recuperan y transfieren correo electrónico, respectivamente. Para proporcionar servicios de correo electrónico a los usuarios, como envío y recepción de correo electrónico, los administradores pueden crear buzones en el servidor.
SERVIDOR DE CORREO
Proporciona servicios de recuperación y transferencia de correo
electrónico. Los Servicios de correo electrónico conforman la base para proporcionar compatibilidad con la firma digital y el cifrado de tráfico de correo electrónico dentro o fuera de una organización.
los sistemas de correo electrónico proporcionan mecanismos para
impedir que los datos sean modificados, además de garantizar que los mensajes no van a ser interceptados ni leídos por ninguna otra persona que no sea el destinatario al que van dirigidos.
CARACTERISTICAS
El POP3 es un servicio de correo electrónico que recupera correo
electrónico. Los administradores pueden utilizar el servicio POP3 para almacenar y administrar cuentas de correo electrónico en el servidor de correo. Cuando el servicio POP3 está instalado en el servidor de correo, los usuarios pueden conectarse al servidor y recuperar el correo electrónico en su equipo local mediante un cliente de correo electrónico que sea compatible con el protocolo POP3 (como Outlook u Outlook Express). El servicio POP3 se utiliza con el servicio SMTP, que envía el correo electrónico saliente.
POP3
SMTP controla el modo en que el correo electrónico se transporta y
distribuye a través de una organización o Internet hasta un servidor de destino. SMTP recibe y envía correo electrónico entre servidores. El servicio SMTP se instala automáticamente en el equipo donde está instalado el servicio POP3 para permitir que los usuarios envíen correo electrónico saliente. Cuando se crea un dominio con el servicio POP3, el dominio se agrega también al servicio SMTP para que los buzones del dominio puedan enviar correo electrónico saliente. El servicio SMTP del servidor de correo recibe el correo entrante y lo transfiere al almacén de correo.
SMTP 1. Configuración de servidor de correo (POP3-SMTP) en Windows 2003 Server
2. En Agregar/Quitar componentes de Windows se agrega el Servicio
de Correo, aquí se debe contar con el CD de instalación de Server 2003:
3. Los Servicios se implementarán automáticamente, los servicios
complementarios de IIS se habilitan conjuntamente.
4. Luego, se ingresa a Administrative Tools del Domain Controller
ingresas a Servicios POP3 y das clic secundario sobre el nombre de tu servidor, para el caso de este ejemplo en nombre del servidor es "TNC", seleccionas " nuevo " y luego " Dominio ", escribes el nombre DNS del Dominio que tiene tu Domain Controller, para mi ejemplo es "TechNetCentro.local", con esto estamos habilitando al Domain Controller para que brinde los servicios POP3.
5. A continuación creamos un buzón usando el Dominio elegido
( TechNetCentro.com ) y agregamos una nueva Bandeja de Entrada, el casillero para crear un usuario asociado debe estar desactivado, de preferencia el usuario ya debe estar creado en Active Directory Users and Computers.
6. Igual creamos, para efectos de este ejemplo, una cuenta
Administrativa (para este caso Administrator).
Hasta aquí los servicios de mensajeria han sido creados
satisfactoriamente. Lo que sigue es probar con Outlook Express, esta configuración es muy común y fácil. Por lo mismo se hace tanto en el Servidor como en el equipo cliente, es importante que el equipo cliente debe encontrarse unido al Dominio para reservar las direcciones y Dirección de contacto de los usuarios. Cada vez que vamos a crear una nueva bandeja de entrada debemos asociarla a la cuenta de Active Directory, este proceso es manual.
# En Outlook Express de Windows Server y Windows XP se hace esto:
# Ubicamos la dirección de Correo que se hereda de la
implementación de Active Directory t del usuario creado:
# En la bandeja de entrada del Servidor POP3 se escribe el nombre
del Servidor se pone esto:
# Se escribe las credenciales respectivas y con esto ya debería
funcionar el Correo Electrónico con Windows Server 2003:
# Desde la bandeja de Entrada del equipo con Windows XP, con
Outlook Express previamente configurado, enviamos un mail a la bandeja de [email_address] :
# En la Bandeja de Entrada de Windows Server, con Outlook Express,
podemos leer el mensaje enviado, esto nos confirma que el servidor de Correo por POP3 está funcionando...
# Para salir de dudas, desde Windows Server 2003 respondemos el
mail al equipo con Windows XP Professional, así:
# En Windows XP podemos ver el mensaje recibido, entonces, ya
tenemos implementado un Servidor de Correo usando los Servicios nativos de Windows Server 2003 sin necesidad de implementar Microsoft Echange Server.