Novedades del servicio DNS en Windows Server 2012–Parte 1 DNSSEC

Como todos sabéis el servicio DNS es el servicio de red más importante, y para Directorio Activo es crucial el uso de DNS, su funcionamiento se basa en DNS.

No voy a entrar a detallar el servicio DNS en si, sino que nos vamos a centrar en ver que novedades ha incluido Microsoft en Windows Server 2012.

  • DNSSEC: Por una parte parece que por fin se ha reforzado el servicio DNS a nivel de seguridad implementando (mejorando) DNS Security Extensions (DNSSEC) que protegerá el servicio, asegurando la autenticidad de las respuestas DNS. Es cierto que ya contábamos con ello en Windows 2008, pero ahora se ha simplificado su configuración y se ha mejorado.  DNSSEC nos protege de lo que comúnmente se denomina ataque man-in-the-middle que se resume como el acto de interceptar una respuesta DNS de un DNS server, y modificar el contenido de dicha respuesta, de tal forma que al cliente le llega la respuesta DNS apuntando hacia otros servidores. DNSSEC protege al cliente de las respuestas DNS falsas. Para proteger la integridad de los datos o respuestas DNS, se firman digitalmente con clave privada/pública, para llevar a cabo esta implementación en Windows Server 2012 se han introducido una serie de registros nuevos:

image

  • Consideraciones a tener en cuenta a la hora de implementar DNSSEC:
  1. El ámbito de replicación de una zona con DNSSEC no puede ser cambiado mientras la zona permanezca firmada digitalmente.
  2. El tráfico DNS aumenta debido a las peticiones de DNSKEY.
  3. Los mensajes de respuesta DNS pesan más.
  4. Los ficheros de zona tienen un mayor tamaño.
  5. Obviamente lleva cierto nivel más de administración.
  6. Los equipos cliente dedican más tiempo a la hora de autenticar las respuestas.
  • ¿Sobre que tipo de zonas convendría utilizar DNSSEC?

Teniendo en cuenta las consideraciones arriba descritas parece que una zona integrada en Directorio Activo con miles de registros no parece un candidato ideal para DNSSEC. Yo lo enfocaría más sobre que tipo de servicios son más vulnerables de man-in-the-middle… Podríamos empezar con servidores Web y servidores de correo en zona pública.

  • ¿Cómo se configura?

El proceso en si no es muy complicado, pero si conviene saber bien que configuración estamos aplicando, nivel de certificados, encriptación, longitud …. En las propiedades de la zona que queremos configurar con DNSSEC, en el desplegamos seleccionamos DNSSEC y SIGN THE ZONE (firmar la zona)

image

Como es la primera zona que vamos a firmar, procedemos a configurarlo con el asistente

image

Debemos elegir que DNS autoritativo de la zona que vamos a securizar será el Key Master, en este caso la zona está integrada en directorio activo, y cualquiera de los DCs es autoritativo.

image

image

El siguiente paso es configurar el tipo de KSK (Key Signing Key) con los parámetros que creamos oportunos (tipo de encriptación, longitud bits …):

image

Una vez generado aun debemos configurar la ZSK (Zone Signing Key) para firmar la zona con la llave privada.

image

Ahora quedaría configurar la parte de NSEC o NSEC3, estos son los registros encargados de por decirlo de alguna manera combatir la suplantación de identidad. Podemos seleccionar NSEC o NSEC3 no ambos.

Y finalizaríamos la configuración.

 

Es un tema en el que se puede profundizar mucho,entrando más en materia de algoritmos, encriptación …

Dejo algunos enlaces de referencia para profundizar más en el tema:

http://technet.microsoft.com/es-es/library/hh831411.aspx

http://strotmann.de/roller/dnsworkshop/entry/dnssec_validation_in_microsoft_dns

DGM