Compartir a través de


Recomendación: configurar todas las zonas DNS para permitir únicamente transferencias de zona a las direcciones IP especificadas

Por qué es algo que se debe considerar

Si la configuración de transferencia de zona está configurada para permitir transferencias de zona a cualquier servidor, puede enviar los datos de su zona de sistema de nombres de dominio (DNS) a un servidor DNS fraudulento. Esta información de la zona DNS mostrada podría hacer que su red sea más vulnerable a los ciberataques, ya que los ciberdelincuentes utilizarán estos datos de la zona DNS para identificar su red en términos de nombres de dominio, nombres de equipos y direcciones IP de sus recursos de red sensibles.

Vea a un ingeniero de clientes explicando el problema

Contexto y prácticas recomendadas

El proceso de replicar un archivo de zona a varios servidores DNS se denomina transferencia de zona. La transferencia de zona se consigue copiando el archivo de zona de un servidor DNS a un segundo servidor DNS. Un servidor DNS principal es el origen de la información de zona durante una transferencia. El servidor DNS principal puede ser un servidor DNS principal o secundario. Si el servidor DNS principal es un servidor DNS principal, entonces la transferencia de zona viene directamente del servidor DNS que hospeda la zona principal. Si el servidor principal es un servidor DNS secundario, entonces el archivo de zona recibido del servidor DNS principal por medio de una transferencia de zona es una copia del archivo de zona secundaria de solo lectura.

El Sistema de nombres de dominio (DNS) se diseñó originalmente como un protocolo abierto, por lo que es vulnerable a ciberdelincuentes. De forma predeterminada, el servicio Servidor DNS solamente permite que la información de zona se transfiera a servidores enumerados en los registros de recursos del servidor de nombres (NS) de una zona. Se trata de una configuración segura, pero para mayor seguridad, esta configuración se debe cambiar para permitir las transferencias de zona a direcciones IP específicas. El cambio de esta configuración para permitir transferencias de zona a cualquier servidor puede mostrar los datos DNS a un ciberdelincuente que intente ocupar la red.

La ocupación es el proceso por el que un ciberdelincuente obtiene los datos de zona DNS, de forma que consigue los nombres de dominio DNS, los nombres de equipo y las direcciones IP de recursos de red sensibles. Un ciberdelincuente suele empezar con un ataque usando estos datos DNS para hacer un diagrama, u ocupar, una red. Los nombres de dominio DNS y de equipo normalmente indican la función o ubicación de un dominio o equipo para ayudar a los usuarios a recordar e identificar dominios y equipos más fácilmente. Un ciberdelincuente aprovecha el mismo principio DNS para conocer la función o ubicación de dominios y equipos en la red.

Revise las siguientes instrucciones para la configuración de transferencias de zona desde el punto de vista de la seguridad:

  • Seguridad de nivel bajo: todas las zonas DNS permiten transferencias de zona a cualquier servidor.
  • Seguridad de nivel medio: todas las zonas DNS limitan las transferencias de zona a servidores enumerados en los registros de recursos del servidor de nombres (NS) en sus zonas.
  • Seguridad de nivel alto: todas las zonas DNS limitan las transferencias de zona a direcciones IP especificadas.

Acciones recomendadas

Para configurar una zona DNS para transferencia de zona segura, cambie la configuración de transferencia de zona a la opción para permitir transferencias de zona a direcciones IP específicas mediante la realización de las siguientes acciones:

  1. Dentro del Administrador de DNS, haga clic con el botón derecho en el nombre de la zona DNS y seleccione Propiedades.
  2. En la pestaña Transferencias de zona, seleccione Permitir transferencia de zona.
  3. Seleccione Solo a los siguientes servidores.
  4. Seleccione Editar y después, en las direcciones IP de los servidores secundarios de la lista, escriba las direcciones IP de los servidores que desea especificar.
  5. Cuando haya introducido todas las direcciones IP requeridas, seleccione Aceptar.

También podrá obtener el mismo resultado usando la herramienta de línea de comandos �dnscmd�.

  1. Abra un símbolo del sistema con privilegios elevados.
  2. En el símbolo del sistema, escriba el siguiente comando y presione Entrar:

dnscmd <ServerName> /ZoneResetSecondaries <ZoneName> /SecureList [<SecondaryIPAddress...>]

Por ejemplo:

dnscmd dnssvr1.contoso.com /zoneresetsecondaries test.contoso.com /securelist 11.0.0.2

Más información

Para obtener más información sobre cómo funcionan las transferencias de zona, consulta Interpretación de zonas y transferencia de zona en https://technet.microsoft.com/library/cc781340(WS.10).aspx.

Para obtener más información sobre cómo configurar las transferencias de zona, consulta Modificación de los ajustes de la transferencia de zona en https://technet.microsoft.com/library/cc771652.aspx.