¿Cuáles son los riesgos prácticos de habilitar las actualizaciones de DNS no seguras en Windows?
Por lo que encontré, habilitar las actualizaciones DNS no seguras es un requisito para permitir que los clientes DHCP Linux registren sus nombres con un FQDN.
Quiero saber cuáles son los riesgos prácticos involucrados en esto para evaluar si está bien tenerlos habilitados o no.
Hasta donde yo sé, una máquina no podría tomar otro nombre reservado, que sería la única preocupación real que tengo ahora.
Obviamente sería el DDOS, pero considerando que estamos hablando de intranet aquí, dudo que esto pueda ser un riesgo real.
¿Lo tienes habilitado en tu dominio o no? ¿Alguna vez tuvo que deshabilitarlo debido a algunos problemas?
Respuestas:
Básicamente, nunca debes permitir actualizaciones no seguras. Personalmente, ni siquiera me gusta que el servidor DNS incluso le permita desactivar las actualizaciones seguras. Esto permite que cualquier persona en su red (como un hacker) registre registros DNS sin necesidad de autenticación de Active Directory. Esto permitiría al atacante "falsificar" un nombre DNS en su red y redirigir a las personas a otro servidor que no sea el que pensaban que iban a utilizar.
Otro ejemplo de cuándo esta configuración puede arruinar su día accidentalmente en lugar de maliciosamente ... alguien apagó las actualizaciones seguras ... todas las HP ILO (administración fuera de banda) en todas las máquinas de la red de repente pudieron comenzar a registrarse dinámicamente sus propios registros DNS ... pero las OIT se llamaron igual que los servidores, por lo que sobrescribieron los registros DNS de los servidores host.
Deshabilitar las actualizaciones seguras es una idea terrible. Solo no lo hagas.
Para una posible solución para que sus clientes Linux aprovechen DHCP para registrar registros DNS de forma segura, esto podría ayudar: Registrar registros A para mi caja Linux en mi servidor DNS / DHCP de Windows 2008
fuente