Revisa esto haber si te sirve.
Comentarios sobre la actualización dinámica, la seguridad de las TSIG y
las ACL
1. Es crítico que la clave sea guardada en secreto, lo que
significa, por ejemplo, que:
a. named.conf y rndc.key no deben tener permisos de lectura
para nadie que no sea
named o el usuario que ejecute rndc o nsupdate.
b. la clave no debe ser transmitida por emails, a menos que
estén cifrados.
c. cualquiera a quien le dé esta clave es de confianza: por
ello, désela exclusivamente a
quienes la necesiten, y nunca a personas de las que
desconfíe.
d. debe considerar cambiar de clave cada cierto tiempo,
después de cambios en el
personal, o si se tienen sospechas de que se pueda haber
comprometido el secreto.
2. Si ambos hosts están en la misma subred, es más difícil
monitorizar (del inglés, spoofing) la
dirección IP que hacerse con una copia de la clave (por ejemplo
si los routers en contacto con
el exterior filtran IPs monitorizadas), de modo que una ACL de
direcciones IP sería más
efectiva.
3. Es igualmente válido especificar una ACL o una clave TSIG. Por
ejemplo allow-update
{key updater; updaters; };, que significaría que tanto la TSIG
como la ACL de
direcciones IP son válidas para las actualizaciones.
4. No es posible requerir a la vez una TSIG y control de acceso por
IP. Los desarrolladores de
Bind no creen que esto sea útil, pues ellos se concentran en el
control a nivel de usuario más
que a nivel de host de cara a las actualizaciones dinámicas (de
aquí el énfasis puesto en la
nueva política de actualizaciones que permite a los usuarios con
direcciones IP dinámicas
actualizar sus registros en el DNS).
5. Las actualizaciones dinámicas no pueden añadir o eliminar
dominios, tan sólo registros de esos
dominios.
6. Un host cliente que quiera actualizar un servidor Bind únicamente
necesita el binario nsupdate
y la clave apropiada. No se requieren otros binarios o librerías
(del inglés, libraries) adicionales.
7. nsupdate soporta el parámetro "-d" para tareas de depuración (del
inglés, debugging).
8. nsupdate también puede usar TCP (del inglés, Transmission Control
Protocol) en lugar de
UDP (del inglés, User Datagram Protocol) para las actualizaciones
(parámetro "-v"), lo que
proporciona un mejor rendimiento si son muchas las actualizaciones a
realizar y mayor
seguridad ya que TCP es un protocolo orientado a conexión. Además,
una conexión TCP tiene
la posibilidad de ser dirigida (del inglés, piped) a través de un
canal (del inglés, tunnel) SSH
(del inglés, Secure SHell)para más seguridad (encriptación y control
de acceso).
9. La política de actualizaciones es una nueva característica de Bind 9
que permite que las
actualizaciones se restrinjan a ciertos nombres específicos. Por
ejemplo, para permitir que un
usuario de ADSL (del inglés, Asymmetric Digital Subscriber Line) o
DHCP (del inglés,
Dynamic Host Configuration Protocol) pueda actualizar el nombre de
su propio host (es
decir, aquellos a que cambian de dirección IP). Con esta política de
actualizaciones, puede
configurarse una lista de claves por host y permitir a cada clave
que actualice únicamente el
host o zona asociada.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
