none
Problemas DNS Interno RRS feed

  • Pregunta

  • Hola foro, paso a detallar el problema que detecte recientemente con mi DNS Interno.

    Mi estructura es la siguiente:

    1 Forest Root (AD, GC) Windows 2003 SP1, DNS (pri.midominio.net)

    3 AD, GC en otros centros, DNS (dos.midominio.net, tres.midominio.net, cuatro.midominio.net)

    1 ISA 2006 con 2 placas red:  1 LAN = 192.168.0.190 y 1 WAN = 200.194.35.1

    Mi dominio PUBLICO es diferente que el INTERNO

     

    El problema que econtre es que desde los DNS Publicos de mi proveedor si hago un ping a mi AD interno me resuelve con una IP PUBLICA 200.0.3.3, esto produce que el ISA nunca pueda encontrar mi AD INTERNO para validar la autenticacion de mis usuarios y poder navegar en internet.

     

    Ej:

    Si hago un ping a mi AD por ej. a   pri.midominio.net  el ISA me resuelve 200.0.3.3

    Si hago un ping a mi AD de un centro por ej. a   dos.midominio.net  el ISA me resuelve 200.0.3.3

    Si hago un ping a mi AD de un centro por ej. a   tres.midominio.net  el ISA me resuelve 200.0.3.3

    Si hago un ping a mi AD de un centro por ej. a   cuatro.midominio.net  el ISA me resuelve 200.0.3.3

     

    Osea todos los nombres de mis AD los resuelve con IP PUBLICA 200.0.3.3.

    Que pudo haber sucedido? 

    Existe la posibilidad que haya tenido algun ataque y se hayan copiado toda mi estructura de mi DNS interno asociandolo a esta IP Publica 200.0.3.3?

     

    Desde ya agradeceria la ayuda de alguno.

    Sdos.

    martes, 24 de junio de 2008 15:58

Respuestas

  • Para que te resuelvan desde internet hace falta un dominio publico, que en este caso es el mismo que tu dominio interno.

    Haz un whois para ver a nombre de quien esta registrado el dominio externo y con quien. Una vez hecho esto habla con el ISP que lo tiene alojado para ver que se puede hacer.

     

    Es lo unico que se me ocurre. Lo otro es cambiar de sufijo de tu DNS externa, en vez de pepito.com llamalo pepito.local

    Este nunca lo pueden subir a internet por no ser publico.

     

    No se me ocurre otra.

    miércoles, 25 de junio de 2008 15:25

Todas las respuestas

  • Explicate mejor, cuando dices AD quieres decir DC?

    A que te refieres con hacer un ping desde los DNS publicos de tu proveedor?

    Como se hace un ping a un Directorio Activo (AD)?

    Haces los ping desde dentro de tu red, o desde fuera, ya que desde fuera de tu red no puedes hacer un ping a ninguna maquina interna de tu red, solo a tu ip publica.

    Intenta explicarte un poco mejor...

     

    Saludos

     

    miércoles, 25 de junio de 2008 9:37
  • Hola Jorge, si es correcto cuando digo AD me refieron a mi Domain Controller.

    Se que es muy raro lo que me esta pasando.

    Te paso a explicar un poco mejor.

    1 PC Workstation con IP interna de mi LAN y DNS Interno de mi DC principal, este me resuelve bien si hago un ping a todos mis DC.

     

    1 PC Server ISA 2006, 1 placa red LAN, 1 placa red WAN (preveedor internet), desde esta PC si hago un ping a mis DC la respuesta es con una IP PUBLICA.

     

    Mi conclusion es que alguien replico mi todo mi DNS interno con todos los nombres de mis DC en INTERNET PUBLICO. Ya que si hago un NSLOOKUP con diferentes servidores DNS PUBLICOS siempre me resuelve mis DC como IP PLUBICA 200.x.x.x

     

    Mi consulta es: 

    Existe la posibilidad de que alguien me haya robado toda la estructura de mi DNS interno y la haya replicado con una IP PUBLICA????

     

    Espero haber sido claro.

    Sdos

    miércoles, 25 de junio de 2008 11:57
  • Has probado el nslookup desde un equipo fuera de tu red, por ejemplo desde tu casa?

    cuando haces nslookup desde el equipo ISA, que servidor predeterminado te aparece, es tu servidor DNS?

     

    Copiar una estructura DNS es posible, aunque no veo con que sentido, te explico, hay un ataque DNS que consiste en desviar tus consultas DNS a un servidor DNS pirata. Al resolver los servidores piratas te pueden desviar a otros recursos que no son los tuyos, usado sobre todo para redireccionar paginas web, de tal modo que la pagina que tu crees que es del banco XXXX es una página pirata y asi poder robarte la password.

    No te copian la DNS, solo te redireccionan a su DNS propio.

    Por otro lado copiar una DNS para poder consultar información de tu red y asi poder buscar otras vulnerabilidades es logico, pero imitar toda la estructura en internet? no le veo sentido.

    Creo mas bien que es un error de configuración de ISA Server o de la tabla de routas de direcciones de red de ese servidor. Puedes comprobarlas con el comando route print

     

     

     

    miércoles, 25 de junio de 2008 12:36
  • Hola Jorge, me inclino mas por el tema de la redireccion a un DNS pirata, ya que si he probado desde otro lugar con internet hacer un PING o NSLOOKUP a mi DC interno y me sigue resolviendo la misma IP PUBLICA 200.x.x.x

     

    Ahora esto tiene alguna solucion? 

    Como puedo solucionar esto si mi DNS esta redireccionado a un DNS pirata?

     

    Sdos

    Gracias

     

    miércoles, 25 de junio de 2008 13:11
  • Desde el exterior de la red solo puedes hacer ping a tu IP publica, nunca a una ip de tu red y nunca puedes hacer un nslookup contra un servidor DNS de tu red interna, exepto que lo configures como servidor dns publico.

     

    Has probado con tracert o con pathping a ver que ruta te esta siguiendo?

     

    miércoles, 25 de junio de 2008 14:41
  • Hola Jorge, si ya se que jamas me puede responder mis DC internos desde Internet, por eso te digo que seguramente me responden con una IP 200.x.x.x que no es de mi poder.  Por eso me inclino mas por el tema del redireccionamiento a un DNS PIRATA.

     

    Ahora te vuelvo a consultar, si es que podes responderme, si sucede esto del redireccionamiento a un DNS PIRATA, se puede solucionar????

     

    Sdos

     

    miércoles, 25 de junio de 2008 15:17
  • Para que te resuelvan desde internet hace falta un dominio publico, que en este caso es el mismo que tu dominio interno.

    Haz un whois para ver a nombre de quien esta registrado el dominio externo y con quien. Una vez hecho esto habla con el ISP que lo tiene alojado para ver que se puede hacer.

     

    Es lo unico que se me ocurre. Lo otro es cambiar de sufijo de tu DNS externa, en vez de pepito.com llamalo pepito.local

    Este nunca lo pueden subir a internet por no ser publico.

     

    No se me ocurre otra.

    miércoles, 25 de junio de 2008 15:25