SERVIDOR DNS (SISTEMA DE NOMBRE DE DOMINIO) CARRERA : INGENIERIA DE SISTEMAS DOCENTE : Ing. Patricia Lopez INTEGRANTE : MELISA TICONA MUJICA 7962326 cbba CURSO : 8VO SEMESTRE
LA PAZ BOLIVIA
Servidor DNS en un CPD 1. Introduccin Un servidor DNS proporciona resolucin de nombres para redes basadas en TCP/IP. Es decir, hace posible que los usuarios de equipos cliente utilicen nombres en lugar de direcciones IP numricas para identificar hosts remotos. Un equipo cliente enva el nombre de un host remoto a un servidor DNS, que responde con la direccin IP correspondiente. El equipo cliente puede entonces enviar mensajes directamente a la direccin IP del host remoto. Si el servidor DNS no tiene ninguna entrada en su base de datos para el host remoto, puede responder al cliente con la direccin de un servidor DNS que pueda tener informacin acerca de ese host remoto, o bien puede consultar al otro servidor DNS. Este proceso puede tener lugar de forma recursiva hasta que el equipo cliente reciba las direcciones IP o hasta que se establezca que el nombre consultado no pertenece a ningn host del espacio de nombres DNS especificado. El servidor DNS del sistema operativo Windows Server 2008 cumple con el conjunto de solicitudes de comentarios (RFC) que definen y estandarizan el protocolo DNS. Puesto que el servicio Servidor DNS es compatible con RFC y puede usar formatos de registro de recursos y archivos de datos DNS estndar, puede funcionar correctamente con la mayora de las implementaciones del servidor DNS, como las que usa el software Berkeley Internet Name Domain (BIND). 2. Servidor de DNS Domain Name System o DNS (en espaol: sistema de nombres de dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente.
2.1 Tipos de servidores DNS Primarios o maestros: Guardan los datos de un espacio de nombres en sus ficheros Secundarios o esclavos: Obtienen los datos de los servidores primarios a travs de una transferencia de zona. Locales o cach: Funcionan con el mismo software, pero no contienen la base de datos para la resolucin de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los servidores DNS correspondientes, almacenando la respuesta en su base de datos para agilizar la repeticin de estas peticiones en el futuro continuo o libre.
2.2 Tipos de registros DNS A = Address (Direccin) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4. AAAA = Address (Direccin) Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6. CNAME = Canonical Name (Nombre Cannico) Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y servidor web) en un servidor con una sola direccin ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado cuando corres mltiples servidores http, con diferente nombres, sobre el mismo host. Se escribe primero el alias y luego el nombre real. Ej. Ejemplo1 IN CNAME ejemplo2 NS = Name Server (Servidor de Nombres) Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. MX (registro) = Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o ms servicios de correo. PTR = Pointer (Indicador) Tambin conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en el archivo de configuracin del Dns reversiva. SOA = Start of authority (Autoridad de la zona) Proporciona informacin sobre el servidor DNS primario de la zona. HINFO = Host INFOrmation (Informacin del sistema informtico) Descripcin del host, permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio. TXT = TeXT - ( Informacin textual) Permite a los dominios identificarse de modos arbitrarios. LOC = LOCalizacin - Permite indicar las coordenadas del dominio. WKS - Generalizacin del registro MX para indicar los servicios que ofrece el dominio. Obsoleto en favor de SRV. SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC 2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio, protocolo, dominio completo, prioridad del servicio, peso, puerto y el equipo completo. Esta es la sintaxis correspondiente: Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo- Completo SPF = Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega con los datos de este registro. 2.3 Centro de Proceso de Datos, CPD Se denomina centro de procesamiento de datos (CPD) a aquella ubicacin donde se concentran los recursos necesarios para el procesamiento de la informacin de una organizacin. Centro de datos por su equivalente en ingls data center. Dichos recursos consisten esencialmente en unas dependencias debidamente acondicionadas, computadoras y redes de comunicaciones. Un Centro de Proceso de Datos (CPD) es el conjunto de recursos fsicos, lgicos, y humanos necesarios para la organizacin, realizacin y control de las actividades informticas de una empresa. A la hora de realizar el diseo de un Centro de Proceso de Datos, la idea inicial que se contempla es la del diseo de una sala de comunicaciones de grandes dimensiones donde se van a ubicar potentes servidores, esta premisa inicial, pone de manifiesto uno de los primeros condicionantes del diseo de CPDs, el carcter crtico de los datos que se manejan, puesto que la mayora de las empresas dependen de la disponibilidad, seguridad y redundancia de la informacin que se almacena en sus servidores, la no disponibilidad de esta informacin supone elevados costes para cualquier compaa, especialmente en las que el departamento financiero tiene que funcionar ininterrumpidamente, sin lentitud en el trfico de datos y donde sus transacciones deben estar totalmente libres de errores.
Ejemplo Una de las empresas de ms xito en Internet ha sido Google. Inici como un buscador de la red y con su modelo de negocios (poniendo anuncios patrocinados en los resultados de las bsquedas), fue creciendo poco a poco. Hoy en da Google trabaja en muchos frentes y es una de las compaas ms interesantes en lo que se refiere a cmputo, a lo que hacen y a lo que desarrollan.
Una empresa de este tamao debe tener miles de servidores cuntos habr en la red de Google? Algunos se aventuran a decir que son ms de un milln, pero el uso de energa de la empresa sugiere que probablemente estn corriendo unos 900,000 servidores.
Google jams dice cuantos servidores tienen corriendo en sus centros de datos. Los nuevos estimados estn basados en la informacin que la compaa ha compartido con el profesor de la Universidad de Stanford, Jonathan Koomey, quien ha dado a conocer un reporte actualizado sobre el uso en los centros de datos de Google. 3. Tipos de Riesgos para un servidor DNS 3.1 Vulnerabilidades Cach Poisoning
servidor DNS y hacerle creer que recibi informacin autntica y vlida El servidor luego cachea esa informacin y la utiliza para responder otras consultas hasta la duracin el TTL de los RRs cacheados Robo de informacion
Estas vulnerabilidades se producen debido a una libre interpretacin a la hora de implementar este protocolo. DNS utiliza mensajes con un formato determinado, que son interpretados por el mecanismo de resolucin de nombre a direccin IP. Un mensaje puede ser una bsqueda o una respuesta. Por la implementacin propia del protocolo, en determinadas circunstancias, una respuesta puede solicitar otra respuesta. Ello puede causar un flujo de mensajes capaces de generar un ataque de denegacin de servicio (DoS).
Con la herramienta PorkBind podemos analizar vulnerabilidades que afectan a la seguridad de servidores DNS. Una vez descubierta la vulnerabilidad nos indica cmo solucionarla con su correspondiente link de CVSS v2.0 y OVAL. Entre las vulnerabilidades que chequea se encuentra la popular vulnerabilidad reportada por Dan Kaminsky. Las vulnerabilidades que detecta son:
Envenenamiento de la cache. Denegacin de servicios va maxdname. Desbordamiento de buffer a travs de consulta inversa. Desbordamiento de buffer a travs de TSIG. Desbordamiento de buffer a travs de nslookup. Acceso a travs de variables de entorno. Desbordamiento de buffer a travs de nslookup. Denegacin de servicio a travs de dns_message_findtype. Modificacin del puntero nulo SIG RR. Denegacin de servicios. Denegacin de servicios va puntero nulo SIG RR. Ejecucin de cdigo arbitrario. Envenenamiento de la cache. Envenenamiento de la cache. Envenenamiento de la cache (de Dan Kaminsky).
3.2 Amenazas stas son las formas comunes en que los intrusos pueden amenazar su infraestructura DNS: La representacin es el proceso mediante el cual un intruso obtiene los datos de zona DNS para obtener los nombres de dominio DNS, nombres de equipo y direcciones IP de recursos de red importantes. Un intruso suele empezar un ataque utilizando estos datos DNS para obtener un diagrama u ocupacin, de una red. Un ataque por servicio denegado se produce cuando un intruso intenta denegar la disponibilidad de los servicios de red desbordando uno o varios servidores DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda con consultas, el uso de la CPU alcanzar su nivel mximo y el servicio del Servidor DNS dejar de estar disponible. Sin un servidor DNS completamente operativo en la red, los servicios de red que utilicen DNS dejarn de estar disponibles para los usuarios de la red. La modificacin de datos es un intento del intruso (que ha ocupado una red mediante DNS) de utilizar direcciones IP vlidas en paquetes IP que ha creado l mismo, de manera que proporciona a estos paquetes la apariencia de proceder de una direccin IP vlida de la red. Esto se denomina comnmente IP ficticia. Con una direccin IP vlida (una direccin IP dentro del rango de direcciones IP de una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro tipo de ataque. La redireccin se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que l controle. Un mtodo de redireccin incluye el intento de contaminar la cach DNS de un servidor DNS con datos DNS errneos que pueden dirigir consultas futuras a servidores que controle el intruso.
Por ejemplo, si se realiz una consulta originalmente para ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de un nombre externo al dominio microsoft.com, como usuario- malintencionado.com, el servidor DNS utilizar los datos de la cach de usuario-malintencionado.com para resolver la consulta de dicho nombre. La redireccin puede realizarse siempre que el intruso disponga de acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones dinmicas no seguras.
3.3 Ataques Algunos de los ataques ms comunes que se presentan en un servicio de DNS son los siguientes: Ataque de negacin del servicio (DOS): este ataques se presenta cuando el servidor DNS se ve inundado con un nmero muy grande de requerimientos reconocidos que pueden eventualmente forzar al procesador a ser usado ms all de sus capacidades recordemos que un procesador Pentium dos de 700 MHz puede soportar hasta 10,000 consultas por segundo; de esta manera se podra evitar que el servidor de DNS siga prestando servicio de manera normal este tipo de ataque no requiere el una gran cantidad de conocimiento por parte del atacante este tipo es extremadamente efectivo, llegando en casos extremos a provocar el reinicio del servidor de red o deteniendo por completo la resolucin de nombres, la imposibilidad de resolver nombres por medio del servidor de DNS puede evitar el acceso de los usuarios a cualquier recurso de Internet, tal como, correo electrnico o pginas de hipertexto, en el caso de los sistemas Windows 2000 y 2003 que funcionan con directorio activo evita la autenticacin de los usuarios y por tanto no permite el acceso a cualquier recurso de red.
Footprinting: los intrusos pueden lograr una gran cantidad de informacin acerca de la infraestructura de la red interceptando los paquetes de DNS para de esta manera lograr identificar sus objetivos, capturando el trfico de DNS los intrusos pueden aprender acerca del sistema de nombres del dominio, los nombres de las mquinas, y el esquema de IP que se emplea en una red. Esta informacin de red revela la funcionalidad de ciertas mquinas presentes en la misma permitiendo al intruso decidir cules son los objetivos ms fructferos y otra forma de atacarlos.
IPSoopfing: los intrusos pueden utilizar una IP legtima a menudo obtenida por medio del ataque anterior para ganar acceso a la red a sus servicios para enviar paquetes que pueden provocar daos dentro de la red a nombre de una mquina que no hace parte de la red, engaando al sistema identificndose con una IP de que no les corresponde a este proceso se le llama Spoofing. Esta manera pueden pasar diferentes filtros estn diseados para bloquear el trfico de IP desautorizadas dentro de la red. Una vez han logrado acceso a los computadores y servicios usando esta tcnica el atacante puede causar gran cantidad de daos pues dentro de la red se supone que la IP les pertenece a segmento local.
La redireccin se produce cuando un intruso puede redirigir consultas de nombres DNS a servidores que l controle. Un mtodo de redireccin incluye el intento de contaminar la cach DNS de un servidor DNS con datos DNS errneos que pueden dirigir consultas futuras a servidores que controle el intruso. Por ejemplo, si se realiz una consulta originalmente para ejemplo.microsoft.com y la respuesta de referencia proporcion el registro de un nombre externo al dominio microsoft.com, como usuariomalintencionado.com, el servidor DNS utilizar los datos de la cach de usuario-malintencionado.com para resolver la consulta de dicho nombre. La redireccin puede realizarse siempre que el intruso disponga de acceso de escritura a datos DNS, como ocurre, por ejemplo, con las actualizaciones dinmicas no seguras.
4. Tres niveles de seguridad DNS En las secciones siguientes se describen los tres niveles de seguridad DNS. Seguridad de nivel bajo La seguridad de nivel bajo es una implementacin DNS estndar sin medidas de seguridad configuradas. Implemente este nivel de seguridad DNS nicamente en entornos de red en los que no preocupa la integridad de los datos DNS o bien en una red privada en la que no haya amenazas de conectividad externa. La seguridad DNS de nivel bajo tiene las siguientes caractersticas: La infraestructura DNS de la organizacin se expone completamente a Internet. Todos los servidores DNS de la red llevan a cabo la resolucin DNS estndar. Todos los servidores DNS se configuran con sugerencias de raz que sealan a los servidores raz de Internet. Todos los servidores DNS permiten las transferencias de zona a cualquier servidor. Todos los servidores DNS estn configurados para escuchar en todas sus direcciones IP. La funcin para evitar la contaminacin de la cach est deshabilitada en todos los servidores DNS. La actualizacin dinmica se permite en todas las zonas DNS. El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 est abierto en el firewall de la red, tanto para direcciones de origen como de destino. Seguridad de nivel medio La seguridad de nivel medio usa las caractersticas de seguridad DNS disponibles sin ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory (AD DS). La seguridad DNS de nivel medio tiene las siguientes caractersticas: La infraestructura DNS de la organizacin tiene una exposicin limitada a Internet. Todos los servidores DNS estn configurados para usar reenviadores que apunten a una lista especfica de servidores DNS internos cuando no puedan resolver los nombres de forma local. Todos los servidores DNS limitan las transferencias de zona a servidores incluidos en los registros de recursos del servidor de nombres (NS) de sus respectivas zonas. Los servidores DNS se configuran para escuchar en direcciones IP especificadas. La funcin para evitar la contaminacin de la cach est habilitada en todos los servidores DNS. La actualizacin dinmica no segura no est permitida en ninguna zona DNS. Los servidores DNS internos se comunican con los servidores DNS externos mediante el firewall con una lista limitada de direcciones de origen y de destino permitidas. Los servidores DNS externos delante del firewall se configuran con sugerencias de raz que apuntan a los servidores raz de Internet. Todas las resoluciones de nombres de Internet se realizan con puertas de enlace y servidores proxy. Seguridad de nivel alto La seguridad de nivel alto usa la misma configuracin que la seguridad de nivel medio. Tambin usa las caractersticas de seguridad disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel alto elimina completamente la comunicacin DNS con Internet. No es la configuracin tpica, pero se recomienda cuando no se requiere conectividad a Internet. La seguridad DNS de nivel alto tiene las siguientes caractersticas: En la infraestructura DNS de la organizacin, los servidores DNS internos no tienen comunicacin con Internet. La red usa un espacio de nombres y una raz DNS de carcter interno; toda la autoridad de las zonas DNS es interna. Los servidores DNS que se configuran con reenviadores slo usan direcciones IP de servidor DNS interno. Todos los servidores DNS limitan las transferencias de zona a las direcciones IP especificadas. Los servidores DNS se configuran para escuchar en direcciones IP especificadas. La funcin para evitar daos en la memoria cach est habilitada en todos los servidores DNS. Los servidores DNS internos se configuran con sugerencias de raz que sealan a los servidores DNS internos que hospedan la zona raz del espacio de nombres interno. Todos los servidores DNS se ejecutan en controladores de dominio. Se configura una lista de control de acceso discrecional (DACL) en el servicio Servidor DNS para permitir que slo usuarios especficos realicen tareas administrativas en el servidor DNS. Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura para permitir que slo usuarios especficos puedan crear, eliminar o modificar zonas DNS. Las listas DACL se configuran en registros de recursos DNS para permitir que slo usuarios especficos puedan crear, eliminar o modificar datos DNS. La actualizacin dinmica segura se configura para las zonas DNS, excepto para las zonas raz y de nivel superior, que no permiten ningn tipo de actualizacin dinmica. 4. Medidas que se puede implementar contra los ataques Para evitar los ataques anteriores existen numerosas tcnicas que para proteger servidor DNS y su espacio de nombres y lograr que su servicio se mantenga todo el tiempo funcionando de manera consistente. Con este como en la mayora de los problemas de seguridad, es un problema cultural, un ejemplo de esto es la regulacin y medidas para asegurar el servidor DNS y no dejarlo abierto cualquier tipo de acceso desde Internet e incluso permitiendo la transferencia de zonas actualizaciones dinmicas con cualquier otro computador esto deja servidor vulnerable a cualquier tipo de ataque descrito anteriormente. Por otra parte se puede cerrar todo el trfico de su red al mundo exterior denegando todo acceso Internet y creando nicamente un punto de acceso al sistema para el servidor , en el caso de red Windows 2000 o 2003, con el directorio activo limitando el acceso administrativo a los servidores de DNS evitando todas las comunicaciones de DNS. Estas medidas aseguran el servidor DNS para tomar la mayora de los trficos pero pueden comprometer la funcionalidad del mismo en la red impidiendo al usuario para el acceso de Internet o de resolver nombres que no pertenezcan al directorio activo o redes externas. Existen oportunidades en las que este tipo de medidas radicales pueden llegar a ser una garanta pero usted debe balancear los requerimientos de seguridad contra los requerimientos del funcionamiento de su red. Algunas de las medidas que se puede implementar dentro de su red para asegurar en parte o totalmente el servidor de DNS son las siguientes: Proveer servicio de DNS redundante: esto significa colocar ms de un solo servidor de DNS para la resolucin de nombres dentro de su red esto puede implicar una mayor cantidad de recursos inicialmente pero la larga es la solucin ms eficaz y ms escalable que se puede representar lo que en el caso de un servidor DNS caer, el servidor redundante o secundario a permitir la resolucin de nombres de manera automtica sin necesidad intervencin por parte del administrador. Doble configuracin del cliente: se recomiendan en cada uno de los clientes colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la de su proveedor de acceso Internet de esta manera est garantizando que su servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma remota a travs de el sistema de su proveedor de acceso a Internet. Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red interna: esta estrategia le permite controlar el acceso a los recursos de forma interna y el forma externa en la red perimetral comprendida entre los algunos tambin conocida como red desmilitarizada (DMZ), as se van a resolver todos los requerimientos externos en la zona externa es decir todos aquellos que sobrepasen el mbito de su red local bien sea por parte clientes internos o de clientes externos a la misma, mientras que el sistema de resolucin de nombres para su red de rea local va estar siendo respaldado por un servidor interno que eleva permitir mantener actualizado y seguro el esquema direcciones IP's sin tener consultas recursos externos. Control de interfases: Otra forma de limitar el acceso a su servidor de DNS es limitando el acceso a consultas por medio de el control de las interfaces de red, es decir, permitiendo la resolucin de DNS slo por una de las interfaces de su servidor de sta manera la interfase que de la red interna hacerla que a permitir la resolucin de nombres de dicha red mientras que la interfase externa no a permitir resolucin de nombres de tipo DNS. Uso de directorio activo: Aunque es posible el footprint forma de la captura de trfico de resolucin, una un mtodo mucho ms eficiente para el atacante es interceptando el trfico de replicacin. Por medio de la captura de paquetes de trfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el trfico replicacin de la zona es instalar todos sus servidores de DNS en un controlador dominio en familias Windows 2000 y 2003 y guardando toda informacin de sus zonas en el directorio activo. El directorio activo entonces se convierten responsable parada realizar todo el trfico replicacin en su zona. Pero el trfico al directorio activo se realiza por medio autenticacin y mutua que le permita de evitar la suplantacin por parte de un intruso y adicionalmente todo el trfico de directorio activo se enva encriptado lo que previene que cualquier persona pueda capturar paquetes leerlos o manipular los datos; finalmente el acceso al controlador dominio est restringido por las polticas que usted efectivamente ha implantado para proteger toda informacin dentro de su directorio. Limitar trafico por IP : Una forma de proteger las transferencia de zonas es especificando la IP de los servidores de DNS que participan en la transferencia de zonas esta manera usted puede limitar a dichos servidores el acceso replicacin y un intruso va tener una labor mucho ms difcil para lograr el acceso replicacin. Encriptar el trafico DNS: Aunque la tcnica que fue prevenir el acceso transferencia de zona efectivamente no protegen los paquetes que estn viajando hacia los servidores un intruso con un capturador de paquetes de sistemas de Windows pueda capturar los datos de transferencia de zona leer los y posiblemente modificarlos con herramientas ms avanzadas se puede configurar su servidor DNS para Encriptar todo el trfico utilizando protocolo de IPSec o la implementacin de VPN de su sistema operativo. Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en su servidor DNS consiste en prevenir la corrupcin del cach sta se presenta por la manipulacin parte de los intrusos de dicha informacin para su beneficio propio; en Windows 2003 el servidor incluye la caracterstica de prevenir la corrupcin de cache se activa as: o dentro del cuadro de propiedades del servidor DNS haga clic en avanzado o luego seleccione asegurar cach contra corrupcin es un cuadro de Checkbox Dentro de la opciones del servidor, esta caracterstica puede prevenir que el servidor haga cach de recursos que no son relativos al informacin que ha recibido por mensajes de respuesta. Autorizar las actualizaciones dinmicas de DHCP: Asegura las actualizaciones dinmicas es otra labor bastante importante dentro del sistema, esas actualizaciones se realiza a travs del sistema DHCP, el cual entregar direcciones de configuracin inicial a los clientes para prevenir las actualizaciones dinmicas no autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio activo esta labor es relativamente simple de realizar por medio de clic derecho slo le el nombre del servidor en la consola del DHCP y seleccionar autorizar. La normativa aplicada en servidores de DNS Bsandonos en la ISO 27001 como marco de normas y los requerimientos de las PCI-DSS como marco de aplicacion terminamos con 12 requerimientos de seguridad que debemos cumplir para tener una politica de seguridad garantizada en nuestro servidor. Estos requerimientos a nivel general son: R1: Instalar y mantener una configuracion de firewall para mantener los datos. R2: No usar las contraseas y otros parametros de seguridad incluidas por defecto por los proveedores del sistema. R3: Proteger los datos almacenados. R4: Encriptar la transmisin de datos que circulan por redes pblicas o abiertas. R5: Programa de administracion de vulnerabilidades. R6: Desarrollar y mantener apliaciones y sistemas seguros. R7: Restringir el acceso a los datos solo a las personas que necesitan saber. R8: Asignar una unica identificacion a cada persona con acceso al computador R9: Restringir el acceso fsico a los datos. R10: Realizar un seguimiento y monitoreo de todo el acceso a los recursos de red y a los datos del sistema. R11: Evaluar regularmente procesos y sistemas de seguridad. R12: Mantener una politica que aborde la seguridad de la informacion para los empleados y contratistas.
ISO 3166-1 alfa-2, sistema de cdigos de dos letras. Tiene muchas aplicaciones, la ms notoria en los dominios de nivel superior geogrfico de Internet. Normalizaciones derivadas de este ltimo cdigo son: ISO 3166-2, cdigos referidos a subdivisiones tales como estados y provincias. ISO 3166-3, sustitutos de los cdigos del sistema alpha-2 que han quedado obsoletos. ISO 4217, cdigos para unidades monetarias. Ejemplos de nombres de dominio de nivel superior .ar, para servicios de Argentina .asia, la regin de Asia .biz prevista para ser usado por negocios. .bo, para servicios de Bolivia .cat, para pginas relacionadas con la cultura e idioma cataln. .cl, para servicios de Chile .co, para servicios de Colombia .cn, para servicios de China .com, son los dominios ms extendidos en el mundo. Sirven para cualquier tipo de pgina web, temtica. .cr, para servicios de Costa Rica .cu, para servicios de Cuba .do, para servicios de Repblica Dominicana .ec, para servicios de Ecuador .edu, para servicios de Educacin .es, para servicios de Espaa .eu, para pases de Europa .fm, para pginas del pas Estados Federados de Micronesia, pero usado tambin para estaciones de radio de frecuencia modulada .fr, para servicios de Francia .gal, para pginas relacionadas con la cultura y lengua (Gallego) de la comunidad autnoma de Galicia, Espaa. .gov y .gob, para gobierno y entidades pblicas Lista de configuracin e instalacin de servidores web y correo Norma Boliviana NB/ISO/IEC 18028-4 Servidor Web Servidor de correo 1 Instalacin segura del servidor web Reabastecer la aplicacin del servidor de correo 2 Instalar el software del servidor en un host dedicado Instalar el software del servidor en un host dedicado 3 Instara los servicios mnimos de internet requeridos Instalara los servicios mnimos de internet requeridos 4 Aplicar parches o actualizaciones para corregir vulnerabilidades conocidas Aplicar cualquier parches o actualizaciones para corregir vulnerabilidades conocidas 5 Crear un disco fsico o particin lgica dedicado(Separado del S.O. y de la aplicacin del servidor)para el contenido web Reservar o desactivar todos los servicios instalados para la aplicacin del servidor de correo que no se requiere 6 Remover o desactivar todos los servicios instalados para la aplicacin del servidor de correo que no se requiere Reservar toda documentacin del vendedor desde el servidor 7 Remover toda documentos scripts y cdigos ejecutables Aplicar plantillas de seguridad adeccuadas o escrituras endurecida al servidor 8 Eliminar toda la documentacin del vendedor desde el servidor reconfigurar el banner del servicio SMTP, POP e IMAP 9 Aplicar plantillas de seguridad o scripts de dureza adecuados para el servidor Desactivar comandos de correo de correo peligrosos e innecesarios 10 reconfigurar el banner del servicio HTTP Configurar el sistema operativo y los controles de acceso al servidor de correo 11 Configurar controles de acceso del sistema operativo de host de servicio y los controles de acceso al servidor de correo Limitar el acceso de la aplicacin servidor de correo a un subconjunto de recursos computacionales 6. Bibliografa https://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_d e_Normalizaci%C3%B3n http://technet.microsoft.com/es- es/library/cc753635%28v=ws.10%29.aspx http://es.wikipedia.org/wiki/IP http://es.wikipedia.org/wiki/SERVIDOR-DNS Norma Bolivia IBNORCA