Soporte DNSSec en Windows 7

Windows Técnico

Sindicación

Proximos HOLs

Loading...
View more

Posts Recientes

Tags

View more

Blogs

Archivo

Paperblog

Para ir entrando en materia un poco más técnica me gustaría comentar el nuevo soporte de DNSSec que incorpora Windows 7 y que va a ayudar a mejorar la seguridad de las consultas DNS, validando mediante firma digital el origen del contenido.

Depués de darse a conocer públicamente las vulnerabilidades actuales de muchos servidores DNS en Internet, según nos desveló Dan Kamisnky en la Black Hat pasada, una de las soluciones que se ha estado barajando se llama DNS Security Extensions o DNSSec.

DNS Security Extensions añade un nivel de seguridad a los servidores y clientes DNS, ya que proporciona mecanismos de autenticación del origen, integridad y comprobación de los datos recibidos.

Específicamente se agregan al DNS cuatro tipos nuevos de registros:

  • Resource Record Signature (RRSIG)
  • DNS Public Key (DNSKEY)
  • Delegation Signer (NSEC)
  • Next Secure (NSEC)

También se agregan dos encabezados nuevos al protocolo

  • Checking Disabled (CD)
  • Authenticated Data (AD)

Tanto Windows Server 2008 R2 (en la parte servidor DNS) como WIndows 7 (en la parte cliente DNS) tendrán soporte para esta tecnología. Por lo tanto, dispondremos de la capacidad de crear zonas firmadas digitalmente en Windows Server 2008 R2, así como mecanismos de comprobación de la firma y la autenticidad de los datos recibidos tanto en Windows 7 como en el propio Windows Server 2008 R2.

Para poder configurar de forma centralizada los clientes Windows 7 de una organización y que puedan resolver zonas DNS concretas utilizando DNSSec, se ha agregado una nueva directiva  de seguridad llamada Name Resolution Policy.

DNSSec

Con Name Resolution Policy podremos configurar para que zonas se debe de utilizar DNSSec, así como la vlidación de los datos y el cifrado con IPsec

Realmente tenemos dos opciones de configuración:

  • Validar que nuestro servidor DNS ha recibido la información mediante DNSSec
  • Utilizar DNSSec para recibir la información mediante un acceso directo al propio servidor DNS del dominio consultado.

DNSSec_TiposConsultas1

DNSSec_TiposConsultas2

Como es configurable por sufijo DNS, un administrador puede habilitar DNSSec unicamente para aquellos dominios sensibles para la organización, por ejemplo entidades bancarias, sistemas de extranet, tiendas online, etc...Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos"

Saludos.

Enviado ene 19 2009, 05:22 por Josh Sáenz G.
Archivado en: ,,,

Comentarios

Windows Técnico escrito FALTA 1 SÓLO DÍA PARA EL LANZAMIENTO DE WINDOWS 7
en 10-21-2009 9:51

Buenas a todos, a falta de un día para el lanzamiento de Windows 7 al mercado he querido hacer un post

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above:  
     
Ofrecido por Community Server (Non-Commercial Edition)