Hoy os voy a hablar sobre las transferencias de zona DNS.
En principio, no es una novedad, ni pretendo descubrir la pólvora con ésto, pero es una de esas cosas que todo el mundo sabe que está ahí, que lleva tiempo entre nosotros y que tal vez, por eso mismo, nadie repara, remedia o evita.
Como todos sabéis la resolución de nombres en Internet se realiza mediante servidores DNS, los cuales transforman nuestras peticiones de nombres en direcciones IP que nuestro navegador o programa utiliza para realizar la conexión. El caso es, que estas resoluciones DNS no sólo sirven para navegar por Internet, y son fundamentales para otros servicios, incluso dentro de nuestra Intranet.
Por ejemplo, Active Directory y los servicios de dominio de Microsoft, no pueden funcionar sin DNS y por eso es un rol obligatorio a tener en algún servidor de nuestra red al implementar los servicios de AD.
Siguiendo con la teoría, los servidores DNS deberían poder replicar sus registros entre varios servidores, por redundancia y seguridad de nuestras operaciones. El servicio DNS está preparado para indicarle a qué servidores se les permite realizar las transferencias de zona para que sólo se pueda realizar el volcado de esos datos a nuestros servidores conocidos y controlados.
El problema viene cuando esos parámetros no se configuran (por dejadez casi siempre) y se permite realizar una petición de transferencia de zona desde cualquier equipo (y cualquier equipo incluye interno o externo a nuestra red).
Si además tenemos configurado el DNS de internet, junto con nuestro DNS de AD (error no separar ambos servicios), podremos tener un listado completo de todos los equipos de una red, sus IP’s, e incluso poder hacernos una idea algo aproximada de su estructura física (departamentos, servidores, impresoras…).
Este fallo suele ser más común de lo que parece, y no hay que investigar durante horas en Internet para encontrar un servidor que no esté bien configurado, y no se limita a pequeñas empresas con pocos recursos. De hecho, podéis hacer transferencias de zona de la Diputación Provincial de Zaragoza, por ejemplo.
El método no puede ser más sencillo.
1.- Abrir una ventana de comandos, y ejecutar «nslookup».
2.- Una vez abierto el prompt de nslookup, seleccionar el tipo de servidor que buscamos para el dominio deseado. En nuestro caso, buscamos servidores de DNS, así que teclearemos «set type=NS».
3.- Una vez seleccionado el tipo de servidor, escribimos el dominio del que queremos conocer sus servidores DNS. Por ejemplo «dpz.es». Ésto nos devuelve los dos servidores DNS autoritativos para ese dominio concreto.
4.- Seleccionamos uno de los servidores tecleando «server dns.dpz.es» para seleccionar dicho servidor. A partir de ahora, todas las consultas las realizamos a ese servidor que hemos seleccionado.
5.- Sólo nos queda teclear «ls dpz.es» para pedir un listado de todos los registros que tiene ese servidor DNS para el dominio «dpz.es».
Como vemos, podemos conocer todos los equipos que forman la red, pero lo más grave es que podemos encontrar vectores de ataque olvidados y que nadie recuerda que hubiesen estado abiertos a internet, o páginas que no deberían ser conocidas públicamente, páginas web obsoletas, pruebas, servidores ESX publicados, conexiones RDP, etc…
Solucionar este fallo de configuración es sencillo, sólo hay que decirles a nuestros servidores DNS desde qué otras IP pueden recibir peticiones de transferencia de zona.
Sencillo, pero olvidado.
Saludos y hasta la próxima.