Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Pgina 1 de 14
Pgina 2 de 14
DNS tiene un mtodo para anotar e interpretar la ruta de acceso completa de un nombre
de dominio DNS de forma similar a como se anotan o muestran las rutas de acceso
completas de archivos o directorios en el smbolo del sistema.
Por ejemplo, una ruta de acceso del rbol de directorios ayuda a indicar la ubicacin
exacta de un archivo almacenado en el equipo. Para los equipos con Windows, la barra
diagonal inversa (\) indica cada nuevo directorio que dirige a la ubicacin exacta de un
archivo. Para DNS, lo equivalente es un punto (.) que indica cada nuevo nivel de dominio
que se utiliza en un nombre.
Por ejemplo, para un archivo llamado Servicios, la ruta de acceso completa de este
archivo como se muestra en el smbolo del sistema de Windows ser:
C:\Windows\System32\Drivers\Etc\Servicios
Para interpretar la ruta de acceso completa del archivo, el nombre se lee de izquierda a
derecha desde el grupo de informacin ms alto o ms general (unidad C:, la unidad
donde est almacenado el archivo) a su informacin ms especfica, el nombre de archivo
"Servicios". Este ejemplo muestra cinco niveles jerrquicos independientes que conducen
a la ubicacin del archivo Servicios en la unidad C:
1. Carpeta raz de la unidad C (C:\).
2. Carpeta raz del sistema donde est instalado Windows (Windows).
3. Una carpeta del sistema donde estn almacenados los componentes del sistema
(System32).
4. Una subcarpeta donde estn almacenadas las unidades de dispositivos del
sistema (Drivers).
5. Una subcarpeta donde estn almacenados archivos diversos utilizados por el
sistema y los controladores de dispositivos de red (Etc.)
Para DNS, un ejemplo de un nombre de dominio con varios niveles es el siguiente, un
nombre de dominio completo (FQDN):
host-a.ejemplo.microsoft.com.
Pgina 3 de 14
4. Reinicie el equipo.
Configuracin de DNS de Microsoft
Recopilar informacin:
Antes de iniciar la configuracin del servidor DNS, hay cierta informacin bsica que
necesitar. Parte de esta informacin deben ser aprobados por Internic para su uso en
Internet, pero si est configurando este servidor slo para uso interno, puede decidir qu
nombres y direcciones IP a utilizar. Necesitar:
1. El nombre de dominio (aprobado por Internic)
2. La direccin IP de cada servidor para el que desea proporcionar resolucin de
nombres
3. Los nombres de host de cada uno de los servidores en el paso anterior
Nota: los servidores en el paso anterior pueden ser los servidores de correo, los
servidores de acceso pblico, servidores FTP, servidores WWW y as sucesivamente.
Por ejemplo:
Domain Name: <Domain.com>
Servers: 192.168.50.11 <Mail1.domain.com>
192.168.50.12 <Ftp1.domain.com>
192.168.50.12 <WWW.domain.com> (notice the same IP address)
192.168.50.15 <DNS1.domain.com>
Pgina 5 de 14
DNS puede configurarse para que se reduzcan los problemas de seguridad. La siguiente
tabla muestra las cinco reas principales que hay que atender al establecer la seguridad
DNS.
Tres niveles de seguridad DNS
Los siguientes tres niveles de seguridad DNS ayudarn a comprender su configuracin
DNS actual y permitirn aumentar la seguridad DNS de su organizacin.
Seguridad de bajo nivel
La seguridad de bajo nivel es una implementacin DNS estndar sin precauciones de
seguridad configuradas. Implemente este nivel de seguridad DNS nicamente en entornos
de red donde no preocupe la integridad de sus datos DNS o en una red privada donde no
existan amenazas de conectividad externa.
Todos los servidores DNS estn configurados con sugerencias de raz dirigidas a
los servidores raz para Internet.
Todos los servidores DNS estn configurados para atender en todas sus
direcciones IP.
Pgina 6 de 14
el
Protocolo
de
control
de
transmisin/Protocolo
Internet
Todos los servidores DNS estn configurados para utilizar reenviadores orientados
a una lista especfica de servidores DNS internos cuando no puedan resolver
nombres de manera local.
Todos los servidores DNS limitan las transferencias de zona a los servidores
indicados en los registros de recursos de servidor de nombres (NS, Name Server)
de sus zonas.
Los servidores DNS internos se comunican con servidores DNS externos a travs
del servidor de seguridad mediante una lista limitada de las direcciones de origen y
destino permitidas.
Pgina 7 de 14
Los servidores DNS externos que hay delante de su servidor de seguridad estn
configurados con sugerencias de raz dirigidas a los servidores raz para Internet.
Su red utiliza una raz y un espacio de nombres DNS internos, en la que toda la
autoridad para zonas DNS es interna.
Los servidores DNS configurados con reenviadores slo utilizan direcciones IP del
servidor DNS interno.
Los servidores DNS internos estn configurados con sugerencias de raz dirigidas
a los servidores DNS internos que alojan la zona raz para su espacio de nombres
interno.
(DACL, Discretionary Access Control List) para que slo permita realizar tareas
administrativas en el servidor DNS a usuarios especficos.
Todas las zonas DNS se almacenan en Active Directory. La DACL est configurada
para que slo permita crear, eliminar o modificar zonas DNS a usuarios
especficos.
Las DACL estn configuradas en los registros de recursos DNS para que slo
permitan crear, eliminar o modificar datos DNS a usuarios especficos.
La actualizacin dinmica segura se configura para las zonas DNS, excepto en las
zonas raz y de nivel superior, que no permiten las actualizaciones dinmicas.
informacin,
estas
violaciones
se
conocen
como
incidentes.
Pgina 9 de 14
Es importante realizar polticas de seguridad para la red que se utilice o pretenda utilizar
para mejorar e implementar las mejores tecnologas que se tienen actualmente en el
mercado como son:
Firewalls, Sistemas de Deteccin de Intrusiones, Routers, VLANs, Sistemas de
Prevencin de Intrusos de red, NetFlow etc.
Firewall
Un Firewall constituye la primera lnea de defensa de una red y es empleado para
restringir el acceso a una red desde otra red. La mayora de las compaas utilizan
Firewalls para restringir el acceso a sus redes desde Internet, aunque tambin pueden ser
usados para restringir trfico interno desde un segmento de red a otro.
El propsito de los Firewall es aislar una red de otra y estn disponibles a travs de
implementaciones de software, como funcionalidad adicional en otro tipo de dispositivo
(funciones de Firewall en un Router) o como hardware dedicado (appliance especfico).
Un Firewall permite aplicar la poltica de seguridad de red de la compaa, inspeccionando
el trfico entrante y saliente a la misma, permitiendo slo los servicios autorizados
mediante el anlisis de las direcciones IP de origen y destino, los puertos de origen y
destino y otros parmetros de inspeccin como ser: nmeros de secuencia, campos de
control, comandos especficos, etc., segn las capacidades del sistema operativo del
Firewall, filtrando los paquetes que no cumplen con la poltica vigente.
Un Firewall puede ser un sistema (software o hardware), es decir, un dispositivo fsico
(hard) que se conecta entre la red y el cable de la conexin a Internet, como en el caso
del CISCO PIX 535, o bien un programa (soft) que se instala en el sistema que tiene el
mdem (u otro dispositivo) que conecta con Internet, como el Firewall-1 de CheckPoint.
Incluso podemos encontrar PCs muy potentes y con softwares especficos que lo nico
que hacen es monitorear en tiempo real las comunicaciones entre redes.
Es posible configurar un Firewall de forma que permita slo trfico de correo, de modo de
proteger de cualquier ataque sobre la red destino. Generalmente, estn configurados para
proteger contra "logins" sin autorizacin expresa desde cualquier parte del mundo. Esto,
ayuda principalmente, a prevenir ataques en mquinas y software de nuestra red.
Pgina 10 de 14
Tambin, permiten bloquear el trfico "desde Internet hacia la empresa", admitiendo que
los usuarios del interior, se comuniquen libremente con los usuarios del exterior. Pueden
protegernos de cualquier tipo de ataque a la red, siempre y cuando se configuren para
ello. Esto proporciona un sistema simple para auditar la red.
Siempre que disponga de una red privada que vaya a conectarse a una red pblica, se
necesita la proteccin que este recurso ofrece. Incluso en el caso de los usuarios
particulares que se conectan a Internet mediante un mdem resulta recomendable, ya que
permite estar protegido contra los ataques que se puedan sufrir, as como moverse por la
red de forma annima. De esta manera, los datos estarn a salvo y la privacidad quedar
asegurada.
IDS
Un Intrusin Detection System (Sistema de Deteccin de Intrusos) cumple una funcin
diferente a un Firewall, debido a que son diseados para detectar anormalidades de
seguridad, como ser el uso no autorizado o abuso de un recurso, o bien un intento de
ataque sobre los mismos. Estos recursos pueden ser computadoras (servidores), redes o
infraestructura de comunicaciones.
Un IDS est diseado para ayudar a mitigar el dao que puede causar a los recursos un
incidente de seguridad. Su funcin consiste en detectar trfico sospechoso y reaccionar
enviando alarmas o reconfigurando dispositivos con el objeto de finalizar conexiones.
Las herramientas generales de IDS pueden implementarse, al igual que los Firewalls,
sobre dispositivos dedicados (appliance) o mediante software. Aunque existen diferentes
tipos de productos, la mayora tienen en comn tres componentes:
a) Sensores
b) Analizadores
c) Interface de administracin
Los sensores se encargan de recolectar el trfico y los datos propios de la actividad de los
usuarios, enviando esta informacin al analizador. ste controla el trfico recolectado en
busca de actividades sospechosas. Si detecta una actividad programada como maliciosa,
enva inmediatamente una alarma a la pantalla de la interface de administracin, a fin de
alertar en forma oportuna al administrador de seguridad, sobre la ejecucin de un posible
ataque.
Pgina 11 de 14
Router
El Router es un dispositivo de capa 3 (Red). Toma sus decisiones de encaminamiento
analizando las direcciones de red de los paquetes (PDU de capa 3). Los routers pueden
conectar distintas tecnologas de Capa 2. La funcin de un Router es examinar los
paquetes que recibe en una interface, leer la direccin de destino de capa 3, elegir cul es
la mejor ruta y conmutar el paquete hacia el puerto de salida adecuado. Los routers no
reenvan los broadcast, por esto, se dice que "dividen" los dominios de broadcast.
Generalmente, los routers tienen una o ms interfaces de LAN y una o ms interfaces de
WAN. Los routers poseen todas las capacidades indicadas antes. Los routers pueden
regenerar seales, concentrar mltiples conexiones, convertir formatos de transmisin de
datos, y manejar transferencias de datos. Tambin pueden conectarse a una WAN, lo que
les permite conectar LAN que se encuentran separadas por grandes distancias. Ninguno
de los dems dispositivos puede proporcionar este tipo de conexin.
VLANs
Puede definirse como una serie de dispositivos conectados en red que a pesar de estar
conectados en diferentes equipos de interconexin (hubs o switches), zonas geogrficas
distantes, diferentes pisos de un edificio e, incluso, distintos edificios, pertenecen a una
misma Red de rea Local.
Con los switchs, el rendimiento de la red mejora en los siguientes aspectos:
a) Asla los dominios de colisin por cada uno de los puertos.
b) Dedica el ancho de banda a cada uno de los puertos y, por lo tanto, a cada
computadora.
c) Asla los dominios de broadcast, en lugar de uno solo, se puede configurar el
switch para que existan ms dominios.
d) Proporciona seguridad, ya que si se quiere conectar a otro puerto del switch que
no sea el suyo, no va a poder realizarlo, debido a que se configuraron cierta
cantidad de puertos para cada VLAN.
e) Controla ms la administracin de las direcciones IP. Por cada VLAN se
recomienda asignar un bloque de IPs, independiente uno de otro, as ya no se
podr configurar por parte del usuario cualquier direccin IP en su mquina y se
f)
Direccin IP Origen.
Direccin IP Destino.
Puerto Origen.
Puerto Destino.
Protocolo.
Cantidad de Datos Transmitidos.
Como se ha planteado, para poder determinar que una red es segura, se necesitan
complementar, cada uno de los recursos o dispositivos antes mencionados, pero es
importante el anlisis de los problemas que se tuvieron con anterioridad para poder
realizar una poltica de seguridad, como inicio de la conformacin de la red con un grado
de seguridad alto. (Gil, 2014, pg. 40)
Actualmente las redes estn formadas por un gran conjunto de dispositivos. Los
diferentes niveles de seguridad que se quieran implementar en una red (desde el acceso
a sta hasta la verificacin de la integridad de los datos que circulan) dependen, en gran
medida, de la seguridad de esos dispositivos.
Las debilidades en la seguridad de las redes van a estar originadas en gran medida por
las vulnerabilidades de los dispositivos presentes en la red. Una vulnerabilidad representa
el punto o aspecto del sistema que es susceptible de ser atacado. Equivale al conjunto de
debilidades del sistema.
Pgina 13 de 14
Bibliografa
Gil, M. A. (2014). Procesos y herramientas para la seguridad de redes. Espaa: Editorial
UNED.
Microsoft. (4 de enero de 2015). Microsoft Developer Network. Recuperado el 2 de
Octubre de 2015, de Microsoft Developer Network: https://msdn.microsoft.com/eses/library/cc783606(v=ws.10).aspx
Pgina 14 de 14