none
Securización Forwarding DNS? RRS feed

  • Pregunta

  • Hola,

    Después de buscar bastante no he dado con una solución, así que pongo aquí mi duda.

    Tengo un DNS Windows dando acceso a los equipos XP de un directorio activo. Este DNS solo sirve una zona DNS. para las demás hace un forwarding a otros DNS linux.

    Una de las zonas a las que se hace forwarding sólo debe ser accesible para ciertos usuarios. Así que me gustaría saber si hay alguna manera de poner ACLs a ese forwarding de modo que sólo puedan redirigirse las consultas de ciertos usuarios.

    Puedo restringir el acceso a esa zona en el DNS linux por IP, pero como todos los usuarios, los que deben estar autorizados y los que no, hacen la consulta a través del DNS windows, vienen de la misma IP. Así que no veo esto válido.

    ¿Alguna idea?

    Muchas gracias.
    jueves, 25 de marzo de 2010 10:51

Respuestas

  • No se me había ocurrido comenzar por el lado del Linux, buena idea :-)

    Pero entiendo que no funcionaría por "forwarding" porque una cosa es resolver, pero el cliente de AD necesita registrar.

    Lo que sí creo que puede funcionar, es si en el Linux pudieras delegar la zona AD. Porque en ese caso el cliente le preguntaría al Linux (como DNS server), y éste lo derivaría al Windows.

    Cuidado con el tema controladores de dominio con varias interfaces... un DC con más de una dirección IP es conocido que trae problemas :-(

    Puedes hacer una búsqueda en http://support.microsoft.com/search/?adv=1 por "multihomed domain controllers" y verás todos los artículos que aparecen :-(

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 22:53
    Moderador

Todas las respuestas

  • Podrías probar a, en lugar de reenviar a los Linux, crear zonas secundarias, de manera que puedas retocar sus ACLs para que sólo puedan leer los usuarios que necesites.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 25 de marzo de 2010 12:05
    Moderador
  • No creo que puedas hacerlo de esa forma, porque el que hace el pedido de resolución es el equipo, no el usuario.

    Yo enfocaría el tema de diferente manera. El problema no está en que el equipo donde está el usuario resuelva la dirección IP. El problema está en si puede acceder al servidor en cuestión; que esto sí se hace con las credenciales del usuario

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 12:42
    Moderador
  • Hola,

     

    Muchas gracias por las respuestas.

     

    En principio, aunque es evidente que lo primero es  que no accedan a los servidores, sí creo que es importante que los usuarios sin autorización  no resuelvan las IPs. Al fin y al cabo es información del entorno que no deben tener y que es susceptible de usarse para lo que no se debe. Cualquier información no necesaria es mejor restringirla.

    El tema de tener yo mismo esas zonas me hace pensar en que debería realizarse transferencia de esas zonas de los  DNS linux al servidor DNS windows periódicamente. ¿Qué aspectos deben tenerse en cuenta en tal caso y que posibles inconvenientes véis?

     

    Muchas gracias de nuevo!

     

     

    jueves, 25 de marzo de 2010 13:04
  • Tienes razón, no me había parado a pensarlo. Lo que dije sólo sería aplicable a entornos en que los usuarios sólo inician sesión con un equipo y sólo hay un equipo por usuario, y en la ACL de la zona DNS incluir los equipos que pueden leer. ¡Contigo no se puede echar un borrón, master! :-P
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 25 de marzo de 2010 14:54
    Moderador
  • Revisa la respuesta de Guillermo y lo que le comento, pues sólo sería viable en un entorno así. Respecto a lo que preguntas, es más un tema de configuración del DNS de Linux, que debería autorizar las transferencias a los DNS Windows y además sería deseable que tambien les realizase notificaciones.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 25 de marzo de 2010 14:56
    Moderador
  • Todos tenemos de esos ¿o te crees que yo no me mando alguno cada tanto?

    :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 15:36
    Moderador
  • El problema de hacer transferencia de zonas a secundarias, es que lo haría de toda la zona. La cual al ser secundaria en Windows no podrías ni modificar, ni poner permisos sobre los registros.

    Un poco de trabajo para estos casos ;-)

    En el Linux la tienes como archivo de texto, así que la podrías pasar con copy/paste al Windows fácilmente.
    De esta forma la podrías poner en el Windows como Primaria - Integrada en AD con lo cual podrías sí poner permisos de acceso.

    Peeeeero, primero serían permisos de acceso por máquina, porque entiendo que por usuario no funcionará. Y segundo, cualquier cambio que se produzca en la zona del Linux deberías replicarlo manualmente.

    Realmente no se me ocurre una solución "buena" para el problema que planteas :-(

    Tampoco considero quizás que el riesgo sea muy elevado, aunque por supuesto depende del ambiente. Imagina sólo que un usuario ande haciendo unos barridos con PING -a
    Yo enfocaría más el problema en el acceso que en que pueda saber la dirección.
    "Todos conocemos las direcciones de las sucursales de los bancos y sin embargo seguimos trabajando" :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 17:58
    Moderador
  • Como bien dices hacer un copy/paste implica doble mantenimiento, lo que puede llevar a que haya problemas por error, olvido, etc...

     

    ...Y si para esos usuarios se les pusiera como DNS primario el DNS Linux que sí hiciera forwarding hacia el DNS windows (que no haría ningún forwarding a esa zona protegida)...¿funcionaría correctamente toda la parte del Directorio activo a la hora de aplicar GPOs y cualquier otro tema del DA en el que intervenga el DNS? 

     

    Olvidé añadir que todos los servidores integrados en el directorio activo tendrían varios interfaces, uno de los cuales es de administración y estaría asociado a una entrada en la zona protegida, y sólo uno de los interfaces del servidor sería el de producción que sí sería accesible para todos los usuarios.

    jueves, 25 de marzo de 2010 22:06
  • No se me había ocurrido comenzar por el lado del Linux, buena idea :-)

    Pero entiendo que no funcionaría por "forwarding" porque una cosa es resolver, pero el cliente de AD necesita registrar.

    Lo que sí creo que puede funcionar, es si en el Linux pudieras delegar la zona AD. Porque en ese caso el cliente le preguntaría al Linux (como DNS server), y éste lo derivaría al Windows.

    Cuidado con el tema controladores de dominio con varias interfaces... un DC con más de una dirección IP es conocido que trae problemas :-(

    Puedes hacer una búsqueda en http://support.microsoft.com/search/?adv=1 por "multihomed domain controllers" y verás todos los artículos que aparecen :-(

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 22:53
    Moderador