Como configurar actualizaciones automáticas en DNS.

¿Qué entendemos por actualizaciones dinámicas?

Si un usuario quiere conectarse a una red compartida en el ordenador de otro usuario, ¿cómo puede hacerlo? La mayoría de las redes implementan esto con actualizaciones dinámicas de DNS, donde cada estación de trabajo informará periódicamente su nombre de host y la dirección IP asignada por DHCP al servidor DNS. De esta manera el primer usuario puede consultar el nombre del segundo usuario, obtener la IP del servidor DNS, y hacer la conexión. Las actualizaciones dinámicas se renovarán cada vez que cambie una dirección IP de una estación de trabajo.

¿Qué pasaría si un host se desconecta mientras está registrado en un DNS? Windows resuelve esto periódicamente «limpiando» registros que no se han actualizado en más de una cierta cantidad de tiempo.

¿Y qué pasaría si los atacantes enviaran mensajes de actualización dinámica falsos? Esto les permite falsificar paquetes de actualización al servidor para afirmar que un nombre de host de destino ahora se está ejecutando en la dirección IP del atacante. Esto podría usarse como un mecanismo para interceptar conexiones destinadas al sistema de la víctima. Afortunadamente, incluye una característica para proteger las actualizaciones falsas. Introduce una clave única compartida entre el cliente y el servidor al enviar paquetes de actualización.

¿Qué ventajas puedes obtener?

Significa que el administrador no tiene que hacer manualmente las entradas para una zona en particular. Windows permite actualizaciones dinámicas por zona. Hay tres opciones para las actualizaciones dinámicas:

  • None: Requerirá que todas las entradas del DNS se añadan manualmente.
  • Nonsecure and Secure (actualizaciones dinámicas no seguras): Permitir actualizaciones dinámicas no seguras es una vulnerabilidad de seguridad importante porque las actualizaciones se pueden aceptar de fuentes no confiables.
  • Secure Only: Solo permite actualizaciones dinámicas seguras. Comprueba los permisos para asegurar que tiene realmente derechos de autenticación para hacer la actualización (es una zona integrada en Active Directory).

https://flic.kr/p/2insVDh

Uno de los parámetros que podemos editar en DNS es aging/scavenging:

https://flic.kr/p/2inuzDy

El intervalo sin actualización es el período de tiempo en el que un registro no se puede actualizar. Estos son los primeros siete días después de una marca de tiempo. Esto reduce el tráfico de replicación.

El intervalo de actualización es posterior a la no actualización y es el momento en que se permiten las actualizaciones. Una vez que han pasado ambos intervalos, el registro se vuelve elegible para la búsqueda. Por lo tanto, si mantiene todos los valores predeterminados de 7 días, no se eliminará un registro durante un mínimo de 14 días y un máximo de 21 días desde la última marca de tiempo si también mantuvo el intervalo de barrido en 7.

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.