¿Cuáles son los riesgos prácticos de habilitar las actualizaciones de DNS no seguras en Windows?

9

¿Cuáles son los riesgos prácticos de habilitar las actualizaciones de DNS no seguras en Windows?

Por lo que encontré, habilitar las actualizaciones DNS no seguras es un requisito para permitir que los clientes DHCP Linux registren sus nombres con un FQDN.

Quiero saber cuáles son los riesgos prácticos involucrados en esto para evaluar si está bien tenerlos habilitados o no.

Hasta donde yo sé, una máquina no podría tomar otro nombre reservado, que sería la única preocupación real que tengo ahora.

Obviamente sería el DDOS, pero considerando que estamos hablando de intranet aquí, dudo que esto pueda ser un riesgo real.

¿Lo tienes habilitado en tu dominio o no? ¿Alguna vez tuvo que deshabilitarlo debido a algunos problemas?

sorin
fuente
Bueno, si quieres que nadie sea capaz de declarar cualquier nombre de host es de ellos (como cajas consumidor DSL) ...
joshudson

Respuestas:

10

Inseguro

Básicamente, nunca debes permitir actualizaciones no seguras. Personalmente, ni siquiera me gusta que el servidor DNS incluso le permita desactivar las actualizaciones seguras. Esto permite que cualquier persona en su red (como un hacker) registre registros DNS sin necesidad de autenticación de Active Directory. Esto permitiría al atacante "falsificar" un nombre DNS en su red y redirigir a las personas a otro servidor que no sea el que pensaban que iban a utilizar.

Otro ejemplo de cuándo esta configuración puede arruinar su día accidentalmente en lugar de maliciosamente ... alguien apagó las actualizaciones seguras ... todas las HP ILO (administración fuera de banda) en todas las máquinas de la red de repente pudieron comenzar a registrarse dinámicamente sus propios registros DNS ... pero las OIT se llamaron igual que los servidores, por lo que sobrescribieron los registros DNS de los servidores host.

Deshabilitar las actualizaciones seguras es una idea terrible. Solo no lo hagas.

Para una posible solución para que sus clientes Linux aprovechen DHCP para registrar registros DNS de forma segura, esto podría ayudar: Registrar registros A para mi caja Linux en mi servidor DNS / DHCP de Windows 2008

Ryan Ries
fuente
Sí, me pasó una vez que alguien enchufó una computadora con el mismo nombre que un servidor y debido a que mi predecesor había desactivado todas las formas de seguridad, la entrada DNS del servidor fue reemplazada por esa PC aleatoria, por lo que todas las solicitudes de los usuarios al servidor que termina en esa PC !!!
ETL
@ETL, ¿ha mencionado que este "servidor" estuvo probablemente fuera de línea durante mucho tiempo y es por eso que otra máquina pudo tomar su nombre. Dudo que esto pueda suceder mientras la máquina está encendida.
sorin
@sorin: el servidor definitivamente estaba activo. Un servidor Linux con, si no recuerdo mal, una entrada DNS estática (que tampoco estaba bloqueada para editar)
ETL
Estoy trabajando en la implementación de la solución desde la publicación vinculada, espero que funcione.
sorin