Cómo configurar el sistema de resolución de nombres de dominio DNS en windowssever2003

Garantizar la seguridad del sistema de nombres de dominio (DNS) en el dominio de Windows Server 2003 es un requisito muy básico. Active Directory (AD para abreviar) utiliza DNS para localizar controladores de dominio y otros recursos necesarios para los servicios de dominio (como archivos, impresoras, correo, etc.). Dado que DNS es una parte integral del sistema de dominio Active Directory, su seguridad debe garantizarse desde el principio. Al instalar DNS en Windows Server 2003, no modifique la configuración predeterminada para el DNS integrado de Active Directory. Microsoft comenzó a ofrecer esta configuración en el año 2000. Esto significa que el sistema solo guarda datos DNS en el servidor DNS y no guarda ni copia información relacionada en controladores de dominio ni servidores de catálogo global. Esto no sólo mejora la velocidad de ejecución, sino que también mejora la eficiencia operativa de los tres servidores. También es fundamental cifrar la transmisión de datos entre el servidor DNS y el cliente (u otro servidor). DNS utiliza el puerto TCP/UDP 53; al filtrar este puerto en varios puntos a lo largo de su perímetro de seguridad, puede asegurarse de que el servidor DNS solo acepte conexiones autenticadas. Además, este también es un buen momento para implementar IPSec para cifrar la transmisión de datos entre clientes y servidores DNS. Activar IPSec garantiza que todas las comunicaciones entre clientes y servidores estén confirmadas y cifradas. Esto significa que sus clientes solo se comunican con servidores autenticados y ayuda a evitar la suplantación de identidad o el compromiso. Después de configurar sus servidores DNS, continúe monitoreando las conexiones como lo haría con cualquier otro objetivo de alto valor en su empresa. Los servidores DNS requieren ancho de banda disponible para atender las solicitudes de los clientes. Si ve una gran cantidad de tráfico de red desde una máquina de origen dirigida hacia un servidor DNS, es posible que esté sufriendo un ataque de denegación de servicio (DoS). Corte la conexión directamente desde la fuente o desconecte el servidor de la red hasta que pueda investigar el problema. Recuerde, un ataque DoS exitoso en un servidor DNS puede hacer caer directamente Active Directory. Con la configuración predeterminada (actualizaciones de seguridad dinámicas), solo los clientes autenticados pueden registrarse y actualizar la información del portal en el servidor. Esto evita que los atacantes modifiquen su información de entrada DNS para engañar a los clientes a un sitio web cuidadosamente falso para robar información importante, como información financiera. También puede utilizar cuotas para evitar que los clientes inunden el DNS. Los clientes normalmente sólo pueden registrar 10 registros. Al limitar la cantidad de objetivos que un solo cliente puede registrar, puede evitar que un cliente realice un ataque DoS en su propio servidor DNS. Nota: asegúrese de utilizar cuotas diferentes para servidores DHCP, controladores de dominio y servidores multitarjeta. Dependiendo de la funcionalidad que proporcionen, estos servidores pueden requerir el registro de cientos de objetivos o usuarios. El servidor DNS responderá a cualquier solicitud de consulta dentro de una zona autorizada. Para ocultar su infraestructura de red interna del mundo exterior, generalmente necesita configurar un espacio de nombres separado, lo que generalmente significa que un servidor DNS es responsable de su infraestructura DNS interna y otro servidor DNS es responsable de la infraestructura DNS externa y de Internet. Al evitar que los usuarios externos accedan a los servidores DNS internos, puede evitar la fuga de recursos internos no abiertos. Finalmente, ya sea que esté ejecutando una red Windows o una combinación de UNIX y Windows, la seguridad DNS debe ser el núcleo de su red. Tome medidas para proteger el DNS de ataques externos e internos.