Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una solución a un problema por el que la vulnerabilidad del servidor DNS a los ataques de snooping de caché del servidor DNS.
Número de KB original: 2678371
Síntomas
¿Qué es el "snooping de caché dns" y cómo lo prevengo? describe el snooping de caché DNS como:
La snooping de caché DNS es cuando alguien consulta un servidor DNS para averiguar (snoop) si el servidor DNS tiene un registro DNS específico almacenado en caché y, por tanto, deduce si el propietario del servidor DNS (o sus usuarios) ha visitado recientemente un sitio específico.
Esto puede revelar información sobre el propietario del servidor DNS, como qué proveedor, banco, proveedor de servicios, etc. usan. Especialmente si esto se confirma (no se realiza) varias veces durante un período.
Este método podría incluso usarse para recopilar información estadística; por ejemplo, en qué momento el propietario del servidor DNS accede normalmente a su banco neto, etc. El valor TTL restante del registro DNS almacenado en caché puede proporcionar datos muy precisos para esto.Es posible la posposición de caché DNS incluso si el servidor DNS no está configurado para resolver de forma recursiva para terceros, siempre y cuando proporcione registros de la memoria caché también a terceros.
Las auditorías de seguridad pueden informar de que varias implementaciones del servidor DNS son vulnerables a ataques de snooping de caché que permiten a un atacante remoto identificar qué dominios y hosts han resuelto recientemente un servidor de nombres determinado.
Una vez que este informe de vulnerabilidades de snooping de caché lee:
Divulgación de información remota de la caché del servidor DNS
Sinopsis:
El servidor DNS remoto es vulnerable a ataques de snooping de caché.
Descripción:
El servidor DNS remoto responde a las consultas de dominios de terceros que no tienen establecido el bit de recursividad. Esto puede permitir que un atacante remoto determine qué dominios se han resuelto recientemente a través de este servidor de nombres y, por tanto, qué hosts se han visitado recientemente. Por ejemplo, si un atacante estaba interesado en si su empresa utiliza la servicios en línea de una institución financiera determinada, podría usar este ataque para crear un modelo estadístico con respecto al uso de la empresa de esa institución financiera. Por supuesto, el ataque también se puede usar para buscar asociados B2B, patrones de navegación web, servidores de correo externos, etc. Nota: Si se trata de un servidor DNS interno que no se puede acceder a redes externas, los ataques se limitarían a la red interna. Esto puede incluir empleados, consultores y posiblemente usuarios en una red de invitado o conexión WiFi si se admite.
Factor de riesgo:
Media
Puntuación base de CVSS:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Consulte también:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Solución:
Póngase en contacto con el proveedor del software DNS para obtener una corrección.
Causa
Este error normalmente se notifica en los servidores DNS que realizan la recursividad.
Solución
No hay ninguna corrección de código, ya que se trata de una opción de configuración.
Hay tres opciones:
Deje habilitada la recursividad si el servidor DNS permanece en una red corporativa a la que no pueden acceder los clientes que no son de confianza
No permitir el acceso público a los servidores DNS que realizan recursividad
Deshabilitar recursividad
Más información
De forma predeterminada, los servidores DNS de Microsoft están configurados para permitir la recursividad.
La recursividad de nombres se puede deshabilitar globalmente en un servidor DNS de Microsoft, pero no se puede deshabilitar por cliente o por interfaz.
La mayoría de los servidores DNS de Microsoft están coinstalados con el rol de servidor controlador de dominio. Estos servidores suelen hospedar zonas y resolver nombres DNS para dispositivos | dispositivos, clientes miembros, servidores miembros y controladores de dominio en un bosque de Active Directory, pero también pueden resolver nombres para partes más grandes de una red corporativa. Dado que los servidores DNS de Microsoft normalmente se implementan detrás de firewalls en redes corporativas, no son accesibles para clientes que no son de confianza. Los administradores de servidores de esta configuración deben tener en cuenta si es necesario deshabilitar o limitar la recursividad de DNS.
Deshabilitar la recursividad globalmente no es un cambio de configuración que se debe tomar ligeramente, ya que significa que el servidor DNS no puede resolver ningún nombre DNS en zonas que no se mantienen localmente. Esto requiere una planeación de DNS cuidadosa. Por ejemplo, los clientes normalmente no pueden apuntar directamente a dichos servidores.
La decisión de deshabilitar la recursividad (o no) se debe tomar en función del rol que el servidor DNS esté pensado para realizar dentro de la implementación. Si el servidor está diseñado para recurse los nombres de sus clientes, no se puede deshabilitar la recursividad. Si el servidor está pensado para devolver datos solo fuera de las zonas locales y nunca está pensado para recurse o reenviar para los clientes, se puede deshabilitar la recursividad.