Los servidores de nombres de dominio pueden ser usados para llevar a cabo ataques de negación de servicio a causa de errores en la configuración en el nivel de recursión que permiten
En el caso de ser un servidor BIND 8/9 el cual no tiene ningún dominio de menor jerarquía al cual tengamos estrictamente que permitirle realizar consultas recursivas se realizaría lo siguiente en el archivo de configuracion de BIND :
options {
directory "/var/named";
recursion no;
};
En el caso de Microsoft DNS se haría añadiendo un registro de tipo REG_DWORD llamado NoRecursion con el valor 1 a la siguiente llave del registro
HKEY_LOCAL:MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
El siguiente ejemplo es útil en el caso en que tengamos dominios de menor jerarquía a los cuales tengamos que permitirles la recursión siempre y cuando esos hosts sean de nuestra confianza. Para BIND 8/9 se realozaria de la siguente manera:
acl recurseallow { x.x.x.x; y.y.y.y; z.z.z.z; };
options {
directory "/var/named";
allow-recursion { recurseallow; };
};
En el caso de microsoft DNS la modificación sería la sigiente:
En la consola de administración de DNS, dar click derecho en el objeto DNS e ir a Propiedades Click en Forwarders tab, habilitar la check box Enable forwarders e incluir en la caja de texto las ips de las cuales aceptamos recursión
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT