Cómo optimizar y asegurar tu servidor DNS: 10 consejos esenciales

Un servidor de reenvío DNS es un servidor DNS que realiza consultas DNS en nombre de otro servidor DNS. Las razones principales para utilizar un servidor de reenvío DNS son descargar las tareas de procesamiento del servidor DNS que reenvía la consulta al reenviador y beneficiarse de la caché DNS potencialmente más grande en el reenviador DNS.

Otro beneficio de utilizar un servidor reenviador DNS es que evita que el servidor DNS que reenvía las solicitudes interactúe con los servidores DNS de Internet. Esto es especialmente importante cuando su servidor DNS aloja sus registros de recursos DNS de dominio interno. En lugar de permitir que sus servidores DNS internos realicen recursión y contacten a los servidores DNS por sí mismos, configure el servidor DNS interno para utilizar un reenviador para todos los dominios para los cuales no es autoritario.

Índice de Contenido
  1. Utilice servidores DNS solo para caché
  2. Utilice anunciantes DNS
  3. Utilice resolutores DNS
  4. Proteja DNS de la contaminación de caché
  5. Habilite DDNS solo para conexiones seguras
  6. Deshabilite las transferencias de zona
  7. Utilice firewalls para controlar el acceso a DNS
  8. Establezca controles de acceso en las entradas del registro de DNS
  9. Establezca controles de acceso en las entradas del sistema de archivos de DNS

Utilice servidores DNS solo para caché

Un servidor DNS solo para caché es aquel que no es autoritario para ningún dominio DNS. Se configura para realizar recursión o utilizar un reenviador. Cuando el servidor DNS solo para caché recibe una respuesta, almacena en caché el resultado y devuelve la respuesta al sistema que emite la consulta DNS al servidor DNS solo para caché. Con el tiempo, el servidor DNS solo para caché puede acumular una gran caché de respuestas DNS, lo que puede mejorar significativamente los tiempos de respuesta DNS para los clientes DNS de ese servidor DNS solo para caché.

Los servidores DNS solo para caché pueden mejorar la seguridad de su organización cuando se utilizan como reenviadores que están bajo su control administrativo. Los servidores DNS internos se pueden configurar para utilizar el servidor DNS solo para caché como sus reenviadores y el servidor DNS solo para caché realiza recursión en nombre de sus servidores DNS internos. El uso de sus propios servidores DNS solo para caché como reenviadores mejora la seguridad porque no tiene que depender de los servidores DNS de su proveedor de servicios de Internet como reenviadores cuando no está seguro de la configuración de seguridad de los servidores DNS de su proveedor de servicios de Internet.

Utilice anunciantes DNS

Un anunciante DNS es un servidor DNS que resuelve consultas para dominios en los que el anunciante DNS es autoritario. Por ejemplo, si aloja recursos disponibles públicamente para dominio.com y corp.com, su servidor DNS público se configuraría con archivos de zona DNS para los dominios dominio.com y corp.com.

Lo que diferencia al anunciante DNS de cualquier otro servidor DNS que aloje archivos de zona DNS es que el anunciante DNS responde a consultas solo para dominios en los que es autoritario. El servidor DNS no realiza recursión para consultas a otros servidores DNS. Esto evita que los usuarios utilicen su servidor DNS público para resolver nombres en otros dominios. Esto aumenta la seguridad al reducir los riesgos asociados con la ejecución de un servidor DNS público, que incluyen la contaminación de caché.

Diferencias entre los tipos de datos Single y Double en VB6

Utilice resolutores DNS

Un resolutor DNS es un servidor DNS que puede realizar recursión para resolver nombres de dominio para los cuales ese servidor DNS no es autoritario. Por ejemplo, puede tener un servidor DNS en su red interna que sea autoritario para su dominio de red interna, internalcorp.com. Cuando un cliente en su red utiliza ese servidor DNS para resolver el nombre techrepublic.com, ese servidor DNS realiza recursión al consultar otros servidores DNS para obtener la respuesta.

La diferencia entre este servidor DNS y un resolutor DNS es que un resolutor DNS es un servidor DNS dedicado a resolver nombres de host de Internet. Un resolutor podría ser un servidor DNS solo para caché que no es autoritario para ningún dominio DNS. Puede hacer que el resolutor DNS esté disponible solo para sus usuarios internos, puede hacerlo disponible solo para sus usuarios externos para proporcionar una alternativa segura al uso de un servidor DNS fuera de su control administrativo, o puede permitir que tanto los usuarios internos como los externos tengan acceso al resolutor DNS.

Proteja DNS de la contaminación de caché

La contaminación de caché DNS es un problema cada vez más común. La mayoría de los servidores DNS pueden almacenar en caché los resultados de las consultas DNS antes de enviar la respuesta al host que emite la consulta. La caché DNS puede mejorar significativamente el rendimiento de las consultas DNS en toda su organización. El problema es que si la caché del servidor DNS se "contamina" con entradas DNS falsas, los usuarios pueden ser redirigidos a sitios web maliciosos en lugar de los sitios a los que pretendían acceder.

La mayoría de los servidores DNS se pueden configurar para evitar la contaminación de la caché. El servidor DNS de Windows Server 2003 se configura para evitar la contaminación de la caché de forma predeterminada. Si está utilizando un servidor DNS de Windows 2000, puede configurarlo para evitar la contaminación de la caché abriendo el cuadro de diálogo Propiedades para el servidor DNS y haciendo clic en la pestaña Avanzado. Seleccione la casilla de verificación Evitar la contaminación de la caché y reinicie el servidor DNS.

Habilite DDNS solo para conexiones seguras

La mayoría de los servidores DNS aceptan actualizaciones dinámicas. La función de actualización dinámica permite que estos servidores DNS registren nombres de host DNS y direcciones IP para hosts que utilizan DHCP para la asignación de direcciones IP de host. DDNS puede ser de gran ayuda para reducir la carga administrativa de los administradores de DNS que de otro modo necesitarían configurar manualmente los registros de recursos DNS para estos hosts.

Sin embargo, puede haber un problema de seguridad importante con las actualizaciones de DDNS si se permiten sin restricciones. Un usuario malintencionado puede configurar un host para actualizar dinámicamente los registros de host DNS de un servidor de archivos, servidor web o servidor de base de datos y redirigir las conexiones que deberían destinarse a esos servidores a su máquina en lugar del objetivo previsto.

Cómo mostrar la hora local en diferentes ubicaciones usando JavaScript

Puede reducir el riesgo de actualizaciones DNS maliciosas al exigir conexiones seguras al servidor DNS para realizar la actualización dinámica. Esto se logra fácilmente al configurar su servidor DNS para que utilice zonas integradas de Active Directory y exigir actualizaciones dinámicas seguras. Todos los miembros del dominio podrán actualizar dinámicamente su información DNS en un contexto seguro después de realizar este cambio.

Deshabilite las transferencias de zona

Las transferencias de zona se realizan entre servidores DNS primarios y secundarios. Los servidores DNS primarios que son autoritarios para dominios específicos contienen archivos de zona DNS modificables que se actualizan según sea necesario. Los servidores DNS secundarios reciben una copia de solo lectura de estos archivos de zona desde los servidores DNS primarios. Los servidores DNS secundarios se utilizan para mejorar el rendimiento de las consultas DNS en toda una organización o en Internet.

Sin embargo, las transferencias de zona no se limitan solo a los servidores DNS secundarios. Cualquiera puede emitir una consulta DNS que haga que un servidor DNS configurado para permitir transferencias de zona vuelque completamente su base de datos de zona. Los usuarios malintencionados pueden utilizar esta información para explorar el esquema de nombres de su organización y atacar servicios de infraestructura clave. Puede evitar esto configurando sus servidores DNS para denegar las solicitudes de transferencia de zona o configurando los servidores DNS para permitir transferencias de zona solo a servidores específicos en la organización.

Utilice firewalls para controlar el acceso a DNS

Los firewalls se pueden utilizar para controlar el acceso a los servidores DNS. Para los servidores DNS que se utilizan solo para consultas de clientes internos, configure los firewalls para bloquear las conexiones de hosts externos a esos servidores DNS. Para los servidores DNS utilizados como reenviadores solo para caché, configure los firewalls para permitir consultas DNS solo desde aquellos servidores DNS que utilizan los reenviadores solo para caché. Una configuración de política de firewall especialmente importante es bloquear a los usuarios internos para que no usen el protocolo DNS para conectarse a servidores DNS externos.

Establezca controles de acceso en las entradas del registro de DNS

En los servidores DNS basados ​​en Windows, debe configurar los controles de acceso en las configuraciones del Registro relacionadas con el servidor DNS para que solo se permita que las cuentas que requieren acceso a ellas puedan leer o cambiar esas configuraciones del Registro.

La clave HKLM\CurrentControlSet\Services\DNS debe configurarse para permitir solo el acceso de las cuentas de Administrador y Sistema, y estas cuentas deben tener permisos de control total.

Cómo convertir valores de fecha y hora en cadenas formateadas

Establezca controles de acceso en las entradas del sistema de archivos de DNS

En los servidores DNS basados ​​en Windows, debe configurar los controles de acceso en las entradas del sistema de archivos relacionadas con el servidor DNS para que solo se permita que las cuentas que requieren acceso a ellas puedan leer o cambiar esos archivos.

La carpeta %system_directory%\DNS y sus subcarpetas deben configurarse para permitir solo el acceso de la cuenta de sistema a los archivos y la cuenta de sistema debe tener permisos de control total.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Desarrollo, allí encontraras muchos artículos similares a Cómo optimizar y asegurar tu servidor DNS: 10 consejos esenciales , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.