Introducción

Los eventos de seguridad son cosas de todos los días, tanto así que ya toman el carácter de “normal”. Y no por normal, hay que restarles atención; Seguramente la mayoría de intentos lleguen a nada, pero de 10 intentos, que 1 realice su cometido, estamos en problemas.

Las posibilidades son infinitas, desde lo mas micro (Un PC con Virus) a lo mas macro (Ransomware infectando mas de 100 paises: http://www.bbc.com/news/technology-39920141 ), con un impacto exponencial.

Estos son incansables, principalmente porque el tráfico es generado por BOTS o redes de BOT, con funcionalidades automatizadas. Está comprobado que mas del 50% del tráfico de internet no es generado por personas

Ref : http://webtrafficnews.com/web-traffic-not-human

Dejemos el bla bla bla, que podemos hacer nosotros ? Una de la batería de estrategias que debemos tomar, es redireccionar las consultas de DNS a otro lado, evitando así la resolución de nombres para el tráfico malicioso.

Caso de uso

Revisando los LOG de tráfico, vemos que incansablemente hay una URL que es bloqueada, podemos decir que con esto es suficiente, ya que el tráfico es bloqueado por el firewall.

Pero siempre podemos dar un paso mas y mejorar esta situación.

1 – Bloqueamos directamente el tráfico en el equipo de comunicaciones, así no hace el workflow de evaluación del tráfico (Dejen que esto lo haga el administrador del Firewall, no le quiten su puesto, inmorales)

2 – Podemos alivianar el tráfico analizado por el firewall, inclusive, evitar que el tráfico salga creando una entrada en el DNS Server redireccionando dicha URL al localhost. Esto veremos a continuación

Añadir DNS externo como localhost en Windows Server

El ejemplo está basado en Windows server 2003, pero el concepto aplica a cualquier DNS Server.

Demás está decir que las estaciones de trabajo tienen que tener dichos DNS Server en su configuración de red

Entrando a nuestro servidor con permisos administrativos, buscamos la configuración de DNS

Vamos hasta Zonas de búsqueda directa, botón derecho, y crear Zona Nueva…

Escribimos el dominio que queremos ignorar; Tomar en cuenta de escribir hasta el penultimo subdominio. En nuestro ejemplo el DNS es ec2-54-255-133-240.ap-southeast-1.compute.amazonaws.com, por lo que lo dejamos de la siguiente manera y apretamos Siguiente

Seleccionamos No admitir actualizaciones dinámicas y le damos Siguiente

Finalizar

Lo que hicimos con esto es crear una zona de búsqueda en nuestro DNS, para que ante cualquier tipo de registro, busque primero dentro de ese dominio de búsqueda antes de hacer la consulta externa. Para que esto funcione, solo nos falta crear la entrada de registro para generar la redirección.

Botón derecho dentro de ap-southeast-1.compute.amazonaws.com -> Host nuevo (A)…

Y creamos la entrada con el subdominio, y la ip de localhost y cliqueamos en Agregar host

FIN

Buscar este blog

MTCNA, FCNP, CCNA.... y todo el circo de certificados.

Añadir DNS externo como localhost en Windows Server

Introducción

Caso de uso

2 – Podemos alivianar el tráfico analizado por el firewall, inclusive, evitar que el tráfico salga creando una entrada en el DNS Server redireccionando dicha URL al localhost. Esto veremos a continuación

Añadir DNS externo como localhost en Windows Server

Comentarios

Publicar un comentario

Entradas populares

Configuración de VLAN en Fortigate

Configuración de VLAN en Mikrotik