Protección contra registros de delegación colgantes en Route 53

Con Route 53, puede enrutar el tráfico a un subdominio mediante la creación de registros NS. Cuando estos registros NS apuntan a servidores de nombre Route 53, se espera que los servidores de nombres coincidan con los del conjunto de delegación de una zona alojada autorizada para el subdominio. Si estos registros NS no apuntan a los servidores de nombres correctos, se deja expuesto el riesgo de que un atacante pueda aprovecharse y tomar el control del subdominio. Estos registros se denominan registros NS colgantes.

Por ejemplo, cuando se elimina una zona alojada de Route 53 para un subdominio, es posible que sus registros NS queden colgando en el dominio principal. Cuando esto ocurre, un atacante podría tomar el control del subdominio mediante la creación de una nueva zona alojada en los servidores de nombres de la zona eliminada. Route 53 intenta prevenir esto llevando un registro de los pares de conjuntos de delegación de subdominios y no permitiendo que se creen nuevas zonas del subdominio en esos servidores de nombres antes de eliminar los registros NS colgantes.

Sin embargo, los registros NS aún pueden quedar colgando debido a una mala configuración de los registros NS. Para mitigar este riesgo, le recomendamos que tome las siguientes medidas:

• Asegúrese de que los registros NS en el ápice de la zona alojada autorizada de Route 53 del subdominio coincidan con la delegación establecida para la zona alojada. Puede encontrar el conjunto de delegación de una zona alojada a través de la consola de Route 53 o AWS CLI. Para obtener más información, consulte Descripción de registros o get-hosted-zone.

• Habilite la DNSSEC firma en la zona alojada de Route 53. DNSSECautentica que DNS las respuestas provienen de la fuente autorizada, lo que evita eficazmente el riesgo. Para obtener más información, consulte Configuración de DNSSEC la firma en Amazon Route 53.

• Elimine los servidores de nombres que no alojan el subdominio de los registros NS del subdominio en la zona alojada principal.

  - o bien -

• Sustituya los servidores de nombres con los cuatro servidores de nombres del conjunto de delegación de la zona alojada autorizada de Route 53 del subdominio. Esto también mitiga el riesgo de manera efectiva.

Ejemplos

En los siguientes ejemplos, suponemos que tiene un dominio principal, parent-domain.com, y un subdominio, sub-domain.parent-domain.com, y mostramos tres situaciones en los que hay registros NS colgantes y cómo mitigar el riesgo.

Escenario 1:

En la zona alojada principal parent-domain.com, se crean registros NS para sub-domain.parent-domain.com con cuatro servidores de nombres: <ns1>, <ns2>, <ns3> y <ns4>. Y los servidores de nombres del subdominio autorizado son <ns5>, <ns6>, <ns7> y <s8>. Por lo tanto <ns1>, <ns2>, <ns3> y <ns4> son todos registros NS colgantes, lo que expone el riesgo de que un atacante pueda tomar el control de sub-domain.parent-domain.com. Para mitigar el riesgo, sustituya el registro NS del subdominio con <ns5>, <ns6>, <ns7> y <ns8>.

Escenario 2:

parent-domain.com tiene registros NS sub-domain.parent-domain.com que apuntan a <ns1>, <ns2>, <ns3>, <ns4>, <ns5>, <ns6>, <ns7> y <ns8>. Los servidores de nombres de la zona alojada del subdominio autorizado son <ns5>, <ns6>, <ns7> y <ns8>. Por lo tanto <ns1>, <ns2>, <ns3> y <ns4> vuelven ser registros NS colgantes. Para mitigar el riesgo, elimine <ns1>, <ns2>, <ns3> y <ns4> de los registros NS.

Situación 3:

Tiene un conjunto de delegación reutilizable <ns1>, <ns2>, <ns3> y <ns4>. Debe crear un registro NS en la zona principal y delegar el subdominio a estos servidores de nombres del conjunto de delegación reutilizable. Sin embargo, no ha creado la zona de subdominio en el conjunto de delegación reutilizable. Por lo tanto <ns1>, <ns2>, <ns3> y <ns4> son registros NS colgantes. Para mitigar el riesgo, cree la zona alojada del subdominio con el conjunto de delegación reutilizable.