none
Reporte DNSSTUFF - Recursividad - Reenviadores!! RRS feed

  • Pregunta

  • Hola Foreros!

    En el reporte de dnsstuff me arroja lo siguiente:

    FAIL

    Open DNS servers

    ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Also, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Also, the bad guys could use your DNS server as part of an attack, by forging their IP address. Problem record(s) are:

    Server xxx.xxx.xxx.xxx reports that it will do recursive lookups. [test] See this page for info on closing open DNS servers.


    Ahora bien, si realizo lo que ellos me aconsejan que es esto:

    Fixing Microsoft DNS on Windows 2003

    • Open DNS.
    • In the console tree, right-click the applicable DNS server, then click Properties.
    • Click the Advanced tab.
    • In Server options, select the Disable recursion check box, and then click OK.

    Los equipos en la intranet no navegan.  Sebastian del Rio me a comentado lo siguiente:



    "La recursion dejala deshabilitada , en cuanto a que los equipos no naveguen , todos los equipos deben apuntar a tu DNS , y tu DNS debe tener configurados reenviadores hacia cualquier DNS publico , por ejemplo el de tu ISP."



    Yo le he dicho esto:



    "En la opción donde aparece deshabilitar los reenvidadores en Windows Small Business Server 2003, esta aparece textualmente así:

    Deshabilitar recursividad (deshabilitar también los reenviadores)

    Es por eso que cuando la activo, al instante se desactivan los reenviadores."



    Bueno, como siempre, estaré atento a sus respuestas. Saludos...


    miércoles, 22 de agosto de 2007 15:05

Respuestas

Todas las respuestas

  • Es correcto , cuando te conteste olvide que cuando deshabilitas la recursion tambien se deshabilian los fowarders Smile
    Te dejo un POST que habla sobre todas las opciones que tienes para solucionar este tema.
    http://www.webmasterworld.com/forum23/4488-3-30.htm


    Slds
    Sebastian del Rio

     

    miércoles, 22 de agosto de 2007 16:30
    Moderador
  • Hola...

    Hice consultas contra tu server y evidentemente está abierto el DNS!!!!

    No es muy sugerible que un foro público expongas la información de tu IP sumados a detalles de problemas ya que alguien podría perjudicarte!!!

     

    Si tienes un SBS y es tu único server, estás es problemas. Debes URGENTEMENTE configurar el FIREWALL o agregarlo. Sino tienes, pon aunque sea un router que haga NAT y que contenga funciones básicas de firewalling.

     

    Espero tomes medidas, cualquier cosa estaremos por aquí para ayudarte?

    Saludos.

    miércoles, 22 de agosto de 2007 16:56
    Moderador
  • Igual en su caso esta bien que este abierto , ya que tiene cargada la zona de su dominio publico en su DNS. ( Por mas que no sea lo mas recomendable Smile )

    Slds
    Sebastian del Rio

    miércoles, 22 de agosto de 2007 17:12
    Moderador
  • No debería ser así.

    Ese DNS tiene una zona del tipo ACTIVE DIRECTORY integrada lo que la hace READ/WRITE.

    Debería utilizar otro DNS fuera del firewall y detrás de otro en una DMZ que sea del tipo SECUNDARIO (es decir READ ONLY). Sino sería mas fácil, barato y eficiente que sea administrador por un ISP.

     

     

    Saludos.

    miércoles, 22 de agosto de 2007 17:51
    Moderador
  • Totalmente de acuerdo !!

    miércoles, 22 de agosto de 2007 18:07
    Moderador
  • Hola Rafael Villaseñor, Sebastian del Rio y Foreros!

    En realidad he quedado preocupado por los comentarios que acaban de realizar, les comento que tengo aqui en la empresa un router Linksys WRT54GC, sin embargo, no tengo claro como podría ayudarme a mejorar la seguridad, estas son algunas de las cosas que no tengo claras:

    1.  El acceso a internet nos lo suministra telefónica, la cual también nos suministra la ip pública, la pregunta es la siguiente, esa ip pública de las que les hablo debería quedar en el router Linksys WRT54GC?.  Pregunto esto, puesto que actualmente tengo dos tarjetas, una con dicha ip pública y la otra para la intranet, es decir, veo que una de las tarjetas no prestaría ningún servicio.

    2.  En caso de que coloque la ip pública en el router Linksys WRT54GC, debo volver a configurar el servidor DNS?.

    3.  El ISA server podría de alguna manera minimizar el riesgo en el que se encuentra actualmente el servidor?.

    4.  Como se cuando el Active Directory está en modo READ/WRITE o READ ONLY?.

    5.  Rafael como sabes que el  está abierto el DNS?.

    Tengo más preguntas, pero no deseo abusar de su tiempo y gentileza al responder mis inquietudes.  Como siempre estaré atento a sus respuestas.  Saludos...
    miércoles, 22 de agosto de 2007 19:52
  • En principio, es correcto lo que afirma Sebastián sobre tu DNS?

    Es público y en el mismo publicas a Internet los dominios que utilizas?

    Esto no debería ser así con una estructura con un único server como es SBS.

     

    Si eso no lo cambias, por mas que tengas 10 firewalls no podrás evitarlo ya que es un problema de estructura.

    Para entender como está funcionando tu red, sería bueno que hagas algún tipo de CROQUIS o lo detalles en un esquema. SUGERENCIA: No indiques las IP reales o modificalas.

     

    Si vas a subir un plano, utiliza el foro de MICROSOFT conocido como NEWSGROUPS.

    Veras que existe un FORO en español dsobre SBS: microsoft.public.es.backofficesbs

     

    Puedes acceder al mismo a través de OUTLOOK EXPRESS.

    La cuenta de NEWS es: news.microsoft.com

     

    Si utilizas WINDOWS MAIL la cuenta es: msnews.microsoft.com

     

     

     

    Saludos.

     

    miércoles, 22 de agosto de 2007 20:23
    Moderador
  •  

    Si utilizas el comando NSLOOKUP hacia la IP que brindaste por el reporte de DNSSTUFF lo podrás ver!!!

    Como también la entrada al OWA, etc, etc!!

     

    Saludos.

    miércoles, 22 de agosto de 2007 20:25
    Moderador
  • Hola Rafael Villaseñor Jofre, Sebastian del Rio y Foreros!

     

    En realidad agradezco sus aportes, he leído el link que ha facilitado Sebastian, sin embargo, aún no le encuentro la caída al problema.  Es decir, como comenté anteriormente si deshabilito la recursividad, también se deshabilitan los reenviadores y por tal razón ningún PC en la intranet tiene acceso a internet. 

     

    Apreciaría mucho si me sugieren un documento donde se especifique como deshabilitar la recursividad sin deshabilitar los reeenvidores o alguna forma de proceder al respecto.  Gracias por adelantado.

     

    viernes, 24 de agosto de 2007 16:19
  • Albert...

     

    Por lo que vengo leyendo en tus distintos posts creo que existe un problema de diseño que se convierte finalmente en un problema de seguridad.

     

    Pareciera ser que no tienes un firewall instalado en tu red.

    Necesitas instalar uno, aunque no sea lo mejor, un router con firewall doméstico te ayudaría.

     

    Por otro lado, me pareció advertir que utilizas al DNS del SBS para resolver tu dominio en INTERNET y es algo TOTALMENTE ARRIESGADO y NO RECOMENDADO.

     

    Si te sirve te dejo unos links con tutoriales de instalación de SBS, pero bajo ningún concepto deberías hacerlo sin FIREWALL, ni pensando con la pequeña estrucura que propone SBS puedes suplir al ISP que administraría a tu dominio público sobre Internet.

    http://www.msexchange.org/tutorials/Installing-and-Configuring-SBS2003.html

    http://www.sbs-rocks.com/sbs2k3/sbs2003-2.htm

     

    Saludos.

    sábado, 25 de agosto de 2007 0:13
    Moderador
  • Hola Rafael Villaseñor Jofre y Foreros!

    La pregunta que creo obligatoria es esta ¿Si Windows Small Business Server Premiun Edition viene con todo, porque crees que no es recomendable instalarlo todo en un equipo?, te pregunto esto porque creo que lo del firewall en últimas lo resolvería con el ISA Server 2006, puesto que tenemos pensado adquirirlo ya que poseemos actualmente el Windows Small Business Server Standard Edition y este no trae el ISA ni el SQL Server.

    La instalación que he hice fue con base en el segundo link que me facilitastes y por ningún lado veo eso que me comentas sobre la seguridad.  En realidad ando un tanto desorientado con todo esto, puesto que sigo sin entender porque si existe esa versión Premiun del Windows SBS 2003 ustedes me dicen que no debo tener todo en un solo equipo, si así fuese, fijate que caería en un grave error si instalo el Windows SBS 2003 Standard Edition en otro computador puesto que solo cuento con una sola licencia.

    Actualmente llevo desde el modem que da telefónica la señal directamente a una de las tarjetas de red del servidor y por medio de la otra tarjeta envío la señal a un Switch para repartir la señal a la intranet.  Les agradecería sino es mucho pedir me sugieran un modelo de red seguro o un link donde hablen de esas temáticas para poder solucionar el problema que les he venido planteando.

    Como siempre quedo a la espera de sus oportunas sugerencias.  Saludos...
    lunes, 27 de agosto de 2007 4:27
  • En realidad es un tema de concepto y otro técnico:

    Como te mencioné anteriormente el SBS es un producto diseñado para que una PYME invierta lo menos posible en IT adaptándose a su realidad. De ahi que todo está conformado en único SERVER.

    La versión de ISA contenida es la 2004 y viene acompañada por un ASISTENTE en SBS que la hace funcionar sin mayores inconvenientes. En cualquier otro caso el ISA debe ser instalado en un servidor adicional.

     

    Finalmente el ISA 2006 no es compartible con SBS 2003:

    http://www.microsoft.com/windowsserver2003/sbs/evaluation/faq/netsec.mspx

    http://sbs.seandaniel.com/2006/03/isa-2006-beta-sweet-lets-sbsize-it-or.html

     

     

    Saludos.

    lunes, 27 de agosto de 2007 12:48
    Moderador