¿Cuáles son los factores de seguridad que se deben considerar para el DNS dinámico en Windows 2000?
La resolución de nombres de dominio de Windows 2000 se basa en DNS dinámico y la implementación de DNS dinámico se basa en RFC 2136. En Windows 2000, el DNS dinámico está integrado con DHCP, WINS y Active Directory (AD). Hay tres formas de implementar DNS en dominios de Windows 2000: integrado con Active Directory, DNS primario integrado con Active Directory y DNS secundario no integrado con Active Directory, DNS primario no integrado con Active Directory y DNS primario no integrado con Active Directory. DNS secundario. Cuando DNS está integrado en Active Directory, puede aprovechar tres características de seguridad importantes en las redes de Windows 2000: actualizaciones dinámicas seguras, transferencias de zonas seguras y listas de control de acceso para zonas y registros de recursos.
1. Actualizaciones dinámicas seguras
Una de las características de seguridad más importantes del DNS dinámico (DDNS) son las actualizaciones seguras. Una consideración importante al implementar actualizaciones de seguridad es la propiedad de los registros que componen las entradas DNS. La propiedad está determinada por la configuración de DHCP y la asistencia al cliente.
Hay dos tipos de registros DNS relacionados con el cliente: registros A y registros PTR que resuelven nombres en direcciones, mientras que los registros PTR resuelven direcciones en nombres. Dirección se refiere a la dirección IP de un cliente y nombre se refiere al nombre de dominio completo de un cliente, que debe ser el nombre de la computadora más el nombre de dominio de la red.
En un entorno Windows 2000, cuando un cliente solicita una IP vía DHCP, se registra el registro DNS del cliente. Dependiendo de la configuración, el cliente, el servidor DHCP o ambos pueden actualizar el registro A y el registro PTR del cliente. Quien registre este registro tiene la propiedad del registro.
Las siguientes son opciones para definir la propiedad del registro A y del registro PTR de un cliente en una red Windows 2000.
1. Modo nativo de Windows2000
En el entorno Windows2000, tanto el servidor DHCP como el cliente DHCP pueden registrar registros a través de DNS. Cuando la red consta únicamente de servidores y clientes de Windows 2000, este entorno de Windows 2000 se define como "modo nativo".
Cuando el cliente es un cliente Windows 2000, la configuración predeterminada es actualizar dinámicamente su propio registro A cuando el cliente se registra en la red. Al mismo tiempo, el servidor DHCP actualiza el registro PTR del cliente. Por lo tanto, la propiedad del registro A pertenece al cliente y la propiedad del registro PTR pertenece al servidor DHCP.
La segunda configuración posible es que el servidor DHCP actualice las búsquedas directas e inversas, en cuyo caso el servidor DHCP tiene tanto el registro A como el registro PTR.
La tercera configuración posible es que el servidor DHCP esté configurado para no realizar actualizaciones dinámicas. En este caso, el cliente actualizará el registro A y el registro PTR, y también tendrá la propiedad del registro.
2. Modo promiscuo de Windows2000
En un entorno de modo promiscuo, el cliente DHCP no puede registrarse en DNS. El llamado modo mixto significa que, además de servidores y clientes de Windows 2000, en la red también hay clientes de Windows NT4.0 o Windows 98.
Los clientes anteriores, como Windows NT4.0 y Windows9x, no se pueden registrar directamente a través de DNS. Debido a que solo el servidor DHCP puede registrar registros a través de DNS, la única opción en un entorno mixto es hacer que el servidor DHCP registre registros A y registros PTR, en cuyo caso el servidor toma posesión de los registros de búsqueda directa e inversa.
3. Actualizaciones dinámicas seguras
En redes Windows 2000, las actualizaciones dinámicas seguras están disponibles sólo cuando Active Directory está integrado con la zona DNS.
¿Qué significan actualizaciones dinámicas seguras? En Windows 2000, esto significa usar ACL de Active Directory para especificar permisos de usuario y grupo para modificar la zona DNS y/o sus registros de recursos. Para permitir actualizaciones de una zona DNS y/o sus registros de recursos, las actualizaciones dinámicas también utilizan canales seguros y autenticación además de las ACL.
Windows2000 admite actualizaciones dinámicas seguras utilizando el algoritmo "GSS Algorithm for TSIG" (GSS-TSIG) redactado por el IETF. Este algoritmo utiliza Kerberos v5 como protocolo de autenticación preferido y GSS-API está definido en RFC2078.