Auditando una zona DNS

Por: Yuri Diógenes

Traducción al español por: Cristhian Uribe

 

1. Introducción

 

Con las nuevas metodologías de seguridad que se presentan cada vez con más frecuencia en pequeñas, medianas y principalmente grandes empresas, la auditoría se ha convertido en un componente fundamental para el seguimiento de las directrices implantadas. De ésta forma, son cada vez más los escenarios en que los administradores de red están empleando el recurso de auditoría. Aunque para auditar algunas actividades es algo muy simple (como por el auditar archivos modificados de una carpeta por ejemplo), pero para otras no es tan intuitivo, como lo es el  caso de auditoría de zonas de un servidor DNS.

Este artículo va a mostrar precisamente, como activar auditoría en una zona DNS que esté integrada a Active Directory.

 

2. Escenario

 

Para poder hacernos una idea de la necesidad de esto en la vida real, necesitamos encontrar un motivo por el cual deberíamos hacerlo. En alguna ocasión, me fue expuesto el siguiente tema: “tengo un servidor DNS que tiene diversas zonas, en una zona determinada veo en ocasiones que algunos registros que fueron creados manualmente, desaparecen después de cierto tiempo (el cual por supuesto es aleatorio) y el registro es simplemente borrado.”.

 

Para este ejemplo vamos a utilizar un escenario ficticio en el cual tenemos una zona integrada con AD llamada ctest.com y queremos saber quien está haciendo modificaciones a esta zona.

 

3. Preparando el Ambiente

 

Para obtener tal información necesitamos realizar las siguientes tareas:

·         Verificar si la auditoría de acceso al directorio está habilitada;

·         Habilitar la auditoria en la zona DNS que se desea monitorear;

·         Usar el visor de sucesos de seguridad para verificar que algo está siendo registrado con referencia a esta zona.

3.1. Auditoria de Acceso al Directorio

 

La primera cosa a verificar, es si la auditoría de directorio está activada para la política de los controladores de dominio, para ello debemos de:

 

1) Abrir la herramienta Active Directory Users and Computers;

2) Hacer clic con el botón derecho en la OU “Domain Controllers” y hacer clic en las propiedades;

3) Hacer clic en “Group Policy” y editar la política “Default Domain Controllers Policy”;

4) Navegar por el camino mostrado en la figura de abajo y verificar si la auditoría está marcada conforme a lo siguiente:

 

 

5) En caso de que ya esté seleccionado con success, failure, se puede simplemente cerrar estas ventanas.

 

3.2. Seleccionando la Zona DNS

 

Ahora necesitamos seleccionar una zona DNS que esté monitoreada:

1) Ejecutar la herramienta ADSIEDit.msc desde Start/Run;

2) En el caso de que se esté ejecutando esta herramienta por primera vez o de que no se haya hecho ninguna modificación de la vista por defecto, solamente apareceran las 3 particiones de AD (Domain, Configuration y Schema). Hacer clic con el botón derecho en la parte de hasta arriba que dice ADSI Edit y hacer clic en  “Connect To...”

3) En la opción “Select or type a Distiguinshed Name or Naming Context”, escribir la ruta mostrada en la figura de abajo: (reemplazando el nombre de dominio por el del dominio en el cual está trabajando).

 

 

4) Después de escribirlo, hacer clic en OK, abrir el contenedor de Dominio y expandir los contenedores hasta llegar al nivel mostrado en la figura de abajo:

 

 

5) Hacer clic con el botón derecho en la zona y escoger propiedades. En seguida hacer clic en “Security” y después en “Advanced”;

6) En la carpeta de “Auditing” hacer clic en “Add” y agregar el grupo Everyone;

7) Escoger las opçiones:

·         Write All Properties;

·         Delete;

·         Delete Subtree

8) En caso que se desee monitorear otras opciones; marcar la caja correspondiente. Hacer clic en OK hasta cerrar las tres ventanas.

 

4. El problema volvió a suceder!!! Qué hago?

 

Digamos que el registro fue borrado, lo que se necesita hacer ahora es ir al visor de sucesos y buscar por el evento con el identificador 566. Éste es un ejemplo de este evento:

 

Event Type:       Success Audit

Event Source:    Security

Event Category:           Directory Service Access

Event ID:          566

Date:                9/7/2006

Time:                8:31:41 AM

User:                CTEST\Administrator

Computer:         CLUSTERDC

Description:

Object Operation:

            Object Server:    DS

            Operation Type: Object Access

            Object Type:      dnsNode

            Object Name:    DC=www,DC=ctest.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ctest,DC=com

            Handle ID:         -

            Primary User Name:       CLUSTERDC$

            Primary Domain:            CTEST

            Primary Logon ID:          (0x0,0x3E7)

            Client User Name:          Administrator

            Client Domain:   CTEST

            Client Logon ID: (0x0,0x29A96)

            Accesses:         Write Property

                                   

            Properties:

            Write Property

                        Default property set

                                    dnsRecord

                                    dNSTombstoned

            dnsNode

 

            Additional Info:  

            Additional Info2:

            Access Mask:   0x20

 

Notar que los elementos marcados en rojo son los elementos en los cuales tenemos que poner mayor atención, ya que en ellos es posible identificar el usuario que hizo la operación del registro que fue accesado (en este caso www). Con estos datos entonces es posible llevar a cabo una investigación para saber por qué este usuario hizo uso de este tipo de acceso.

 

5. Conclusión

 

El mensaje principal de este artículo es mostrar las acciones simples para activar la auditoría de zona de DNS, que nos permita recolectar y registrar las acciones que son realizadas en las zonas integradas a DNS.

A continuación se presentan algunas referencias relacionadas a este tema:

 

314955  HOW TO: Audit Active Directory Objects in Windows 2000

http://support.microsoft.com/default.aspx?scid=kb;EN-US;314955

 

DNS-Tombstoned

http://windowssdk.msdn.microsoft.com/en-us/library/ms675530.aspx