Flashcards: 207.3 - Seguridad Dns
45 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Cual es la funcion principal de DNSSEC?
R: b) Proporcionar autenticacion e integridad de las respuestas DNS. DNSSEC garantiza que las respuestas DNS no han sido modificadas (integridad) y que provienen de una fuente legitima (autenticacion) mediante firmas criptograficas. DNSSEC NO proporciona cifrado ni confidencialidad. Para cifrar las consultas DNS se utilizan tecnologias como DNS over TLS (DoT) o DNS over HTTPS (DoH).
P: ¿Que tipo de clave DNSSEC se utiliza para firmar los registros de datos de una zona (A, MX, NS, etc.)?
R: b) ZSK (Zone Signing Key). La ZSK (Zone Signing Key) se utiliza para firmar los registros de datos de la zona, como A, MX, NS, etc. La KSK (Key Signing Key) solo firma el conjunto de registros DNSKEY. Esta separacion permite rotar la ZSK con frecuencia sin necesidad de actualizar el registro DS en la zona padre.
P: ¿Que registro DNSSEC se publica en la zona PADRE para vincular la cadena de confianza con la zona hija?
R: c) DS (Delegation Signer). El registro DS se publica en la zona padre y contiene un hash de la KSK de la zona hija. Esto establece la cadena de confianza: el resolver verifica la firma de la zona padre, obtiene el DS, y lo usa para validar la DNSKEY de la zona hija.
P: ¿Que mejora aporta NSEC3 respecto a NSEC?
R: b) NSEC3 impide la enumeracion de la zona (zone walking) usando hashes. NSEC enumera los nombres existentes en la zona en orden, lo que permite a un atacante “caminar” la zona completa descubriendo todos los nombres. NSEC3 soluciona este problema reemplazando los nombres reales por hashes criptograficos salteados, haciendo impracticable la enumeracion.
P: ¿Que protocolo utiliza TSIG para autenticar las transacciones DNS?
R: b) Criptografia simetrica con clave compartida (HMAC). TSIG (Transaction Signatures) utiliza criptografia simetrica basada en HMAC (Hash-based Message Authentication Code) con una clave secreta compartida entre ambos servidores. Los algoritmos comunes son hmac-sha256 y hmac-sha512. La misma clave debe estar configurada en ambos extremos de la comunicacion.
P: ¿Cual es el proposito principal de ejecutar BIND en un entorno chroot?
R: c) Limitar el acceso del proceso named a un directorio restringido, reduciendo el impacto de vulnerabilidades. El chroot confina el proceso named en un directorio aislado. Si un atacante explota una vulnerabilidad en BIND, solo tendria acceso a los archivos dentro del directorio chroot, no al resto del sistema de archivos. La opcion -t de named especifica el directorio chroot.
P: En una configuracion de Split DNS con views en BIND, ¿que directiva determina que clientes son atendidos por cada vista?
R: b) match-clients. La directiva match-clients dentro de un bloque view determina que clientes seran atendidos por esa vista, basandose en su direccion IP. Las vistas se evaluan en orden y se usa la primera que coincida. Es importante recordar que cuando se usan views, TODAS las zonas deben estar dentro de una view.
P: ¿Que flag en la respuesta de dig indica que los datos han sido autenticados mediante DNSSEC?
R: c) ad (Authenticated Data). El flag ad en la respuesta de dig indica que el resolver recursivo ha verificado satisfactoriamente la cadena de firmas DNSSEC para esa respuesta. El flag aa indica que la respuesta proviene de un servidor autoritativo (pero no necesariamente verificada por DNSSEC). El flag cd indica que la verificacion DNSSEC fue deshabilitada por el cliente.
P: ¿Que parametro de rate limiting en BIND permite que algunos clientes reciban una respuesta truncada (TC) en lugar de ser completamente bloqueados?
R: c) slip. El parametro slip determina con que frecuencia se envia una respuesta truncada (con el flag TC) a clientes afectados por el rate limiting, en lugar de simplemente descartar la consulta. Una respuesta TC indica al cliente que debe reintentar la consulta via TCP, lo que ayuda a los clientes legitimos a obtener sus respuestas mientras dificulta los ataques de amplificacion.
P: ¿Que comando genera una clave TSIG para autenticar transferencias de zona entre servidores BIND?
R: b) tsig-keygen -a hmac-sha256 nombre-clave. El comando tsig-keygen genera una clave TSIG en el formato listo para incluir en named.conf. La salida incluye el bloque key completo con el nombre, algoritmo y secreto en base64. Tambien se puede usar ddns-confgen para generar claves TSIG. dnssec-keygen se usa para claves DNSSEC (asimetricas), no para TSIG.
P: ¿Que valor del flag en un registro DNSKEY identifica una KSK (Key Signing Key)?
R: c) 257. En los registros DNSKEY, el flag 257 identifica una KSK (Key Signing Key) y el flag 256 identifica una ZSK (Zone Signing Key). La KSK firma el conjunto de registros DNSKEY de la zona y su hash se publica como registro DS en la zona padre para establecer la cadena de confianza.
P: ¿Que directiva de BIND configura la validacion automatica de DNSSEC utilizando las claves de la zona raiz incluidas con el software?
R: b) dnssec-validation auto;. La directiva dnssec-validation auto configura BIND para validar automaticamente las respuestas DNSSEC usando las claves de confianza de la zona raiz que vienen incluidas con BIND. Con el valor yes, se requiere configurar manualmente las claves de confianza. El valor auto es el recomendado y el predeterminado en versiones recientes de BIND.
P: ¿Que opcion de configuracion en BIND oculta la version del servidor para dificultar el reconocimiento por parte de atacantes?
R: c) version "none";. La directiva version "none"; dentro del bloque options de named.conf evita que BIND revele su numero de version al recibir consultas de tipo TXT para version.bind en la clase CHAOS. Se puede establecer cualquier cadena de texto, pero “none” o una cadena vacia son las opciones mas comunes para ocultar informacion al atacante.
P: En una configuracion de Split DNS con views, ¿que ocurre si se definen zonas fuera de un bloque view cuando ya existen otros bloques view?
R: b) Se produce un error de configuracion; todas las zonas deben estar dentro de una view. Cuando se utiliza la funcionalidad de views en BIND, TODAS las zonas deben estar definidas dentro de un bloque view. No se pueden mezclar zonas dentro y fuera de views. Ademas, la zona hint (raiz) debe incluirse en cada view que necesite resolucion recursiva.
P: ¿Que tipo de registro DNSSEC contiene la firma digital de un conjunto de registros?
R: c) RRSIG. El registro RRSIG (Resource Record Signature) contiene la firma digital de un conjunto de registros (RRset). Incluye informacion sobre el tipo de registro firmado, el algoritmo de firma, la fecha de expiracion y creacion de la firma, el key tag del DNSKEY utilizado y la firma codificada en base64. Cada tipo de registro en la zona tiene su correspondiente RRSIG.
P: ¿Que mecanismo de seguridad DNS protege contra ataques de amplificacion limitando el numero de respuestas identicas por segundo?
R: c) Rate limiting. El rate limiting (limitacion de tasa) en BIND protege contra ataques de amplificacion DNS y denegacion de servicio al limitar el numero de respuestas identicas que el servidor envia por segundo. Se configura con la directiva rate-limit dentro del bloque options, con parametros como responses-per-second, nxdomains-per-second y errors-per-second.
P: ¿Que puerto utiliza DNS over TLS (DoT) por defecto?
R: c) 853. DNS over TLS (DoT) utiliza el puerto 853 por defecto para cifrar las consultas DNS mediante TLS. A diferencia del DNS tradicional (puerto 53), DoT proporciona confidencialidad al cifrar la comunicacion entre el cliente y el resolver. DNS over HTTPS (DoH) utiliza el puerto 443, el mismo que el trafico HTTPS normal.
P: ¿Que directiva de BIND permite restringir la recursion solo a clientes de una red especifica?
R: b) allow-recursion { 192.168.0.0/16; };. La directiva allow-recursion en el bloque options de BIND especifica que clientes pueden realizar consultas recursivas. Es una buena practica de seguridad restringir la recursion solo a la red interna para evitar que el servidor sea utilizado en ataques de amplificacion DNS. allow-query controla quien puede realizar cualquier tipo de consulta, no solo recursivas.
P: ¿Cual es la diferencia fundamental entre DNSSEC y DNS over TLS (DoT)?
R: b) DNSSEC proporciona autenticacion e integridad, DoT proporciona confidencialidad (cifrado). DNSSEC utiliza firmas criptograficas para garantizar que las respuestas DNS no han sido modificadas (integridad) y provienen de una fuente legitima (autenticacion), pero no cifra las consultas. DoT cifra la comunicacion DNS mediante TLS, proporcionando confidencialidad. Son tecnologias complementarias, no sustitutivas.
P: ¿Que opcion del comando named especifica el directorio chroot en el que se ejecutara el proceso?
R: c) -t. La opcion -t del comando named especifica el directorio chroot. Por ejemplo, named -t /var/named/chroot ejecuta BIND confinado en ese directorio. Dentro del chroot se replica la estructura de directorios necesaria (etc/, var/, dev/) con los archivos de configuracion y zona. En RHEL/CentOS, el paquete bind-chroot facilita esta configuracion.
P: ¿Que comando genera un par de claves DNSSEC de tipo KSK con algoritmo RSASHA256 para la zona ejemplo.com?
R: dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -f KSK ejemplo.com. El comando dnssec-keygen genera pares de claves DNSSEC. La opcion -a especifica el algoritmo (RSASHA256), -b el tamano en bits (2048), -n ZONE indica que es una clave de zona, y -f KSK indica que es una Key Signing Key. Sin -f KSK, se genera una ZSK por defecto.
P: ¿Que comando permite realizar una consulta DNS con validacion DNSSEC activada usando la herramienta dig?
R: dig +dnssec. El comando dig +dnssec realiza una consulta DNS solicitando al resolver que incluya la informacion DNSSEC (registros RRSIG) en la respuesta. Por ejemplo: dig +dnssec ejemplo.com A. En la respuesta, el flag ad (Authenticated Data) indica que la cadena de firmas DNSSEC fue verificada satisfactoriamente.
P: ¿Que comando firma un archivo de zona DNS con las claves DNSSEC generadas previamente?
R: dnssec-signzone. El comando dnssec-signzone firma un archivo de zona con las claves DNSSEC (KSK y ZSK) que se encuentren en el directorio actual. Se usa con opciones como -o para especificar el nombre de la zona, -N INCREMENT para incrementar el serial, y -3 seguido de un salt para generar registros NSEC3 en lugar de NSEC.
P: ¿Que comando de BIND se utiliza para probar una transferencia de zona autenticada con TSIG?
R: dig AXFR -k. El comando dig con la opcion -k permite especificar un archivo de clave TSIG para autenticar la transferencia de zona. El formato completo es: dig @servidor dominio AXFR -k /ruta/al/archivo.key. El archivo de clave contiene el bloque key con el nombre, algoritmo y secreto compartido.
P: ¿Que directiva en named.conf deshabilita globalmente las transferencias de zona por defecto?
R: allow-transfer { none; };. La directiva allow-transfer { none; }; dentro del bloque options deshabilita las transferencias de zona de forma global. Esta es una buena practica de seguridad que impide que cualquier host solicite una copia completa de la zona. Despues, se pueden habilitar transferencias selectivamente en cada zona individual usando allow-transfer con las IPs de los esclavos autorizados.
P: Tip de examen: Conoce la diferencia entre KSK y ZSK. La KSK firma las claves (DNSKEY), la ZSK f…
R: Conoce la diferencia entre KSK y ZSK. La KSK firma las claves (DNSKEY), la ZSK firma los registros de datos. La KSK se vincula con la zona padre mediante el registro DS.
P: Tip de examen: NSEC permite zone walking (enumeracion). NSEC3 soluciona este problema usando ha…
R: NSEC permite zone walking (enumeracion). NSEC3 soluciona este problema usando hashes. Ambos prueban la no existencia de un registro de forma autenticada.
P: Tip de examen: El flag ad (Authenticated Data) en la respuesta de dig indica que la respuesta…
R: El flag ad (Authenticated Data) en la respuesta de dig indica que la respuesta fue verificada con DNSSEC. dnssec-validation auto es la configuracion recomendada.
P: Tip de examen: TSIG usa criptografia simetrica (clave compartida) para autenticar transacciones…
R: TSIG usa criptografia simetrica (clave compartida) para autenticar transacciones DNS. Es el metodo recomendado para asegurar transferencias de zona y comunicaciones rndc. La misma clave debe estar en ambos servidores.
P: Tip de examen: El chroot confina BIND en un directorio aislado. Si el servicio es comprometido,…
R: El chroot confina BIND en un directorio aislado. Si el servicio es comprometido, el atacante solo tiene acceso a los archivos dentro del chroot. La opcion -t de named especifica el directorio chroot.
P: Tip de examen: Rate limiting mitiga ataques de amplificacion DNS. El parametro slip permite q…
R: Rate limiting mitiga ataques de amplificacion DNS. El parametro slip permite que algunos clientes legitimos reciban una respuesta truncada (TC), forzandolos a reintentar por TCP.
P: Tip de examen: DoT y DoH proporcionan confidencialidad (cifrado) para las consultas DNS. DNSSEC…
R: DoT y DoH proporcionan confidencialidad (cifrado) para las consultas DNS. DNSSEC proporciona autenticacion e integridad. Son complementarios, no sustitutos.
P: Tip de examen: Split DNS usa view en BIND para servir diferentes respuestas segun el cliente…
R: Split DNS usa view en BIND para servir diferentes respuestas segun el cliente. Las vistas se evaluan en orden. Es una practica comun para separar la resolucion interna de la externa.
P: Que hace el comando responses-per-second?
R: Maximo de respuestas identicas por segundo
P: Que hace el comando slip?
R: Cada N respuestas limitadas, enviar una truncada (TC)
P: Que hace el comando nxdomains-per-second?
R: Limite de respuestas NXDOMAIN por segundo
P: Que hace el comando errors-per-second?
R: Limite de respuestas de error por segundo
P: Que es/son DNSSEC (DNS Security Extensions)?
R: DNSSEC anade autenticacion e integridad a las respuestas DNS mediante firmas criptograficas. No proporciona cifrado (confidencialidad), sino que permite verificar que la respuesta DNS no ha sido modifi
P: Que es/son TSIG (Transaction Signatures)?
R: TSIG proporciona autenticacion para transacciones DNS usando claves simetricas compartidas (HMAC). Se usa principalmente para:
P: Que es/son BIND en chroot?
R: Ejecutar BIND en un entorno chroot limita el acceso del proceso named a un directorio restringido, reduciendo el impacto de una posible vulnerabilidad.
P: Que es/son Rate Limiting (Limitacion de tasa)?
R: La limitacion de tasa protege contra ataques de amplificacion DNS y denegacion de servicio:
P: Que es/son Split DNS (DNS dividido)?
R: Split DNS presenta diferentes respuestas segun el origen de la consulta (red interna vs. externa):
P: Que es/son Resumen de tecnologias de seguridad DNS?
R: | Tecnologia | Proteccion | Mecanismo |
P: Que es/son Buenas practicas de seguridad DNS?
R: - Ocultar la version de BIND: version "none";
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: