Configurar DNSSEC y firma de una zona DNS.

DNSSEC es una medida de seguridad de Windows Server frente a ataques de DNS spoofing, en el que nuestros registros DNS pueden ser alterados por atacantes por medio de la caché de resolución de DNS (Actualizaciones dinámicas). En este post hablaremos de su implementación/funciones.

Para evitar estos ataques, existen varios métodos. Uno de ellos implica una confianza nula en otros DNSs, así como el bloqueo de cualquier tipo de actualización. Pero cuando eso no es una opción… podemos emplear DNSSEC, introduciendo firmas de zonas y claves/certificados.

DNSSEC en Windows Server nos permite emplear claves públicas junto a nuestros registros DNS. Esto permite que las respuestas del servidor (o servidores) DNS sean de confianza y posean integridad.

DNS: Firma de una zona vía DNSSEC.

Esta tecnología está presente desde Windows Server 2012, y requiere que el usuario tenga instalado el rol de DNS (zonas firmadas) y el rol de AD DS (zonas de Active Directory). En el escenario del tutorial se empleará un DC (controlador de dominio de DOMINIO.COM), junto a la zona DNS de «DNS_TEST».

Antes de firmar una zona con DNSSEC, tendremos que plantear cómo queremos firmarla, y sus implicaciones. Firmar una zona requiere un mayor uso de CPU/Disco a cada consulta. Dependiendo del tráfico de nuestro servidor, esto puede aumentar considerablemente el uso de recursos.

Para proceder a firmar una zona, contamos con tres modos de trabajo: firma custom (personalizada), firma en función a otra zona DNS (¡nos ahorrará trabajo cuando tengamos varias hechas!) y firma automática (simple, y sin personalización alguna). Es muy importante, en entornos de producción, decidir un método de cifrado seguro, a la vez que rápido. ¡No nos interesa un SHA-512 de 4096 bits para un DNS funcional! Por último, podemos pre-generar claves de cifrado si así lo queremos, aún no siendo recomendable.

Lo más importante, si queremos forzar el uso de DNSSEC a los usuarios del dominio, ¡debemos usar una GPO! Firmar una zona no garantiza que se emplee un canal seguro para todos los usuarios del dominio. Para lograrlo, se ha de añadir una GPO de «Name Resolution Policy», y especificar el servidor DNSSEC. ¡Ya podemos contar con respuestas firmadas!

Por último, decir que si bien DNSSEC es una medida de seguridad adicional, ¡no es la única necesaria! Windows Server posee otros muchos métodos para asegurar integridad y continuidad a la gente que la persigue.

Autor/a: Andrés Miguel Villarmín
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infraestructure
Centro: Tajamar
Año académico: 2018-2019

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.