Descripción de la configuración de DNS Server seguro contra la corrupción de la caché

Resumen

Este artículo proporciona una descripción de la configuración de servidor DNS "Asegurar caché contra corrupción". Los servidores DNS de Microsoft Windows NT 4.0 y Windows 2000 es capaz de protección de la contaminación de la caché (también llamado "Asegurar caché contra corrupción" o "SecureResponses"). De forma predeterminada, esta opción no está habilitada en Windows NT 4.0 y versiones anteriores a Windows 2000 Service Pack 3 (SP3). Después de habilitar a esta configuración, el servidor DNS pasa por alto los registros de recursos DNS que provienen de servidores que no están autorizados para ellos. Aunque puede provocar consultas DNS adicionales, las ventajas de seguridad con creces el costo de las consultas adicionales, para habilitar la protección de corrupción de caché de DNS es muy recomendable.

Más información

Protección de corrupción de caché de DNS está habilitada de forma predeterminada en Windows 2000 SP3 y versiones posteriores. Protección de corrupción de caché de DNS está habilitada de forma predeterminada en Windows Server 2003. DNS de Windows 2003 que la configuración de clave del registro no existe, sin embargo la configuración está habilitada de forma predeterminada. Dentro de una ventana de comandos puede comprobar la configuración actual ejecutando el comando siguiente:
Dnscmd /Info /SecureResponses
Para obtener información adicional acerca de cómo habilitar la protección de la contaminación de la caché de DNS en Windows NT 4.0 o Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

241352 cómo prevenir la contaminación de la caché DNS

Ejemplo de protección de la contaminación de la caché

El servidor DNS recibe esta respuesta a una consulta que se envía a un servidor de nombres para ejemplo.com:

pregunta: www.example.com A
respuesta: no hay registros
AUTH: ejemplo.com NS ns.isp.com
adicional: ns.isp.com A 1.2.3.4
El servidor DNS siempre almacena en caché el registro NS en esta respuesta porque es un nombre que está dentro de la autoridad del servidor DNS que se recibió desde. Con protección de corrupción de caché deshabilitada, el registro es también almacena en caché. Sin embargo con la protección de corrupción de caché habilitada, se omite el registro y el servidor DNS inicia una consulta de actualización de caché para resolver la dirección de ns.isp.com. Esto es debido a que la consulta se recibió desde un servidor de nombres para ejemplo.com, pero ns.isp.com está fuera del dominio ejemplo.com. Aunque una consulta DNS adicional es necesario para resolver la consulta original en este ejemplo, se almacenan en caché los resultados de la consulta ns.isp.com por lo que el impacto debería ser mínimo.

Otro ejemplo de protección de la contaminación de la caché

El servidor DNS recibe esta respuesta a una consulta que se envía a un servidor de nombres para ejemplo.com:

pregunta: www.example.com A
respuesta: no hay registros
AUTH: microsoft.com NS ns.isp.com
adicional: ns.isp.com A 1.2.3.4
Con protección de corrupción de caché deshabilitada, registro de NS del atacante para microsoft.com se almacena en caché, lo que hace que la resolución de nombres falle o ser secuestrado para las consultas subsiguientes de nombres que están en el dominio microsoft.com. Con la protección de corrupción de caché habilitada, se omiten el registro NS y el registro en esta respuesta porque son ambos para nombres fuera de ejemplo.com.
Propiedades

Id. de artículo: 316786 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios