Direcciones ip en servidor dns ...

Jens Hardings jhp en csol.org
Jue Mayo 5 11:22:55 CLT 2005


Jesus Aneiros Sosa wrote:

>>pq esta mal la configuración?
>>.. acaso si la misma no fuera publica como hace el servidor para
>>devolver lo querido al hacer un query de dominio?
>>    
>>
>
>Una cosa es responder a consultas y la otra transferir las zonas 
>completamente. Es posible responder a las consultas sin tener la 
>transferencia de zonas permitida a todo el mundo. Al menos asi funciona 
>BIND 9 de manera implicita si mal no recuerdo.
>  
>

Es un tema sumamente relativo. Consideremos por ejemplo DNSSEC, que
supuestamente agrega mayor seguridad, al ir firmadas las zonas y en
todas las respuestas se pueden verificar critpográficamente las
respuestas. Para lograr poder verificar efectivamente las respuestas
negativas ("para tal nombre no existe un RR de tipo XX asociado"), es
necesario agregar registros de tipo NSEC (antes llamados NXT), y ordenar
las zonas alfabéticamente. De lo contrario, sería necesario firmar de
antemano todas las posibles combinaciones de nombres y registros que a
alguien se le podría ocurrir solicitar, lo cual no resulta demasiado
práctico. El resultado es que con un par de consultas cualquier persona
puede acceder a la información completa de la zona.

Así que el ocultar la zona en realidad aporta bastante poco a mejorar la
seguridad de una red (security by obscurity), y además entra en
conflicto con otras mejoras a la seguridad (evitar cache poisoning entre
otros) que aporta DNSSEC.

Saludos,

-- 
Jens.



Más información sobre la lista de distribución Linux