DNS. Cloudflare. Secure DNS

Purpose

Update your TCP configuration to put new DNS servers with extendent security features.

Some important DNS to consider.

DNS 1.1.1.1 (Cloudflare)

Antimalware and adult content. Safeguard user privacy and optimize efficiency, it is designed for direct, not for blocking or filtering content . Warp performance and security technology. Support DNS over HTTPS

DNS direcciones de Cloudflare support DNS over HTTPS

DNS 1.1.1.2  - 1.0.0.2 (Cloudflare)

 Protection malware

DNS 1.1.1.3 -  1.0.0.3  (Cloudflare)

 Anti-malware (malware and adult content) 

DNS 9.9.9.9 (IBM)

 Fast, safe and private browsing

There are a new European (France) DNS Service, Free and Secure, it is DNS0.

dns0 offers a "child-friendly" Internet free of ads, pornography, dating, piracy and adult YouTube videos.

Normal (Malware) IPv4: 193.110.81.0 / 185.253.5.0 IPv6: 2a0f:fc80:: / 2a0f:fc81:: DOH: https://dns0.eu DOQ: dns0.eu DOT: dns0.eu	Zero (Malware reforzado) IPv4: 193.110.81.9 / 185.253.5.9 IPv6: 2a0f:fc80::9 / 2a0f:fc81::9 DOH: https://zero.dns0.eu DOQ: zero.dns0.eu DOT: zero.dns0.eu
Kids (parental filtering) IPv4: 193.110.81.1 / 185.253.5.1 IPv6: 2a0f:fc80::1 / 2a0f:fc81::1 DOH: https://kids.dns0.eu DOQ: kids.dns0.eu DOT: kids.dns0.eu	Resolution without filtering IPv4: 193.110.81.254 / 185.253.5.254 IPv6: 2a0f:fc80::ffff / 2a0f:fc81::ffff DOH: https://open.dns0.eu DOQ: open.dns0.eu DOT: open.dns0.eu

by GoN | Published: May 7, 2020 | Last Updated: Dec 15, 2023

WINDOWS. PS. DNS Export

Purpose

How to make a script to export the DNS information

Steps

Add the following commands to a *.PP1 file:

Import-Module grouppolicy

$date = get-date -format d.M.yyyy

 $DNSServer="MYDC"

$Zones = @(Get-DnsServerZone -ComputerName $DNSServer)

$Data = @()

ForEach ($Zone in $Zones) {

                $nombrefile = $date + $Zone.ZoneName + ".dns.bak"

                dnscmd /zoneexport $Zone.ZoneName backup\$nombrefile

                 Copy-Item C:\Windows\System32\dns\backup\$nombrefile \\midomain\datos\Backups\DNS

}

$PSEmailServer = "10.10.11.10"

Send-MailMessage -From no-reply@myhome.loca -To infrastructures@myhome.local -Subject "mycompay. Backups semanal DFS Mydom.LOCAL" -Body "Finalizada la copia de Backups de DFS en el servidor XXXXX"

 by GoN | Published: Nov 1, 2021 | Last Updated:

WINDOWS. Delete DNS cache

Purpose

Clear DNS cache in a Windows DNS Server

Steps

Command: ipconfig /flushdns

Command: DNS clear cache

Command: 

net stop dns

net start dns

Check Windows 2012R2 DNS Server
by GoN | Published: Jun 19, 2020 | Last Updated:

Ethical Hacking. MITM ARP attack. Ettercap

SUBJECT:

MITM attack POISONING the ARP table

[STEP 1]

Run "Kali Linux" Virtual Machine.

In my case, configure the keyboard in spanish.

[STEP 2]

We run the ETTERCAP tools, before we have some configs to route traffic.

[STEP 3]

Start ETTERCAP

[STEP 4]

Config ETTERCAP

In this moment the traffic capture is running

We stop sniffing for add configs

Search hosts

Assign hosts

[STEP 5] START THE ATTACK!!

Attack type: ARP Poisoning

[SETP 6] Verify the attack

We select a http web page

ATTACK DONE!!

Now we can do impersonate DNS names 

We need create a false web (We continue using Kali linux OS)

Check the web

[ ]

For this example we use the microsoft web page.

[ ] 

Run ettercap-> Select interface-> Hosts lis-> Choose victim & GW->Choose attack:Mitm. Arp. Sniff. Start. Pluggins. Mange.dns_spoof.

The application of the explanations in this post is for educational purposes. It is illegal to test it in unauthorized environments.

Check at Kali Linux
by GoN | Published: January 22, 2018 | Last Updated:

DNS. What IPs can send email with my domain name

For verify how can send email with our domain, you can connect to https://www.digwebinterface.com/.

Put your domain name, and select Type: "ANY"

Result is at line:

ip4: X.X.X.X

You can view others IP list that are authorized to can send email and they don't have problems if some do a reverse source check.

MX register:

The result show your MX register. You could had more than one IP linked this name: 

Now,  Check the MX register

We can view than our MX register had two IP.

In summary there are 3 IPs that can send email with our domain name (2 MX + 1 SPF) without problems.

It's possible that we have configurated that un email from my domain can't arrive from out of my network, We can not receive our email from outside our network, using this command in our Exchange Server:

Get-ReceiveConnector | remove-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Check at Windows 2012 R2 
by GoN | Published: July 7 2017 | Last Updated:

MxToolBox - Network-Tools - Robtex

Aquí comentaré una herramienta Online que tiene un paquete de utilidades muy interesantes, cualquier administrador de correo o de Fiwerall necesita consultar frecuentemente. 

Este web nos dará información de muchas cosas, las que considero más habituales sería como mirar si un domino ha entrado en una lista negra, saber cuando sale de la lista negra, si la configuración de los registros de un servidor de correo a sufrido algún cambio, la salud de nuestro dominio, etc... 

Otra visión que le podemos dar a estas consultas es que pueden ser útiles para recabar información para hacer un informe de auditoria.

Su uso es extremadamente sencillo, necesitamos saber el domino o la ip objetivo y nos dejará hacer un buen número de consultas:

DNSLOOKUP:

BLACKLIST

No solo tiene las herramientas que comento, podemos encontrar otras como:

Para mi MXToolBox es una herramienta bastante completa, pero si necesitamos complimentar información hay muchas más, entre las cuales las que más me guastan son:

Network-tools:

http://network-tools.com/

Robtex:

https://www.robtex.com/

A veces, por lo menos en España, no siempre estas herramienta nos dejan ver que está pasando y hay que complementarlas con la ayuda de algunas que se basan en reputaciones como:

http://www.cyren.com/ip-reputation-check.html

by GoN | Published: January, 2016 | Last Updated: March, 2, 2017

dsastat. Diferencias de replicación entre Servidores

La herramienta que voy a comentar puede ser muy interesante a la hora de auditar o buscar errores, nos ayudará a validar la buena salud de nuestros servidores, o mostrar los problemas de sincronización. Estamos hablando de dsastat.

Compara la base de datos del AD entre diferentes servidores. Que siempre debería ser de igual tamaña.

Depende el nivel de registros a comparar puede durar un buen rato, en mi caso son unos 7.000 registros. Una ejecución básica de este comando podría ser:

Vas viendo la evolución de test

Un ejemplo de resultado con problemas:

Gon Feb2015

Operador Windows DNS

A veces para descargar trabajo delegamos la responsabilidad de ciertos privilegios de administrar el AD en algún operador. No siempre es fácil asignar los permisos correctos, intentaré en unos cuantos post explicar como los he configurado yo.

La finalidad es que NO pueda eliminar la zona, pero si gestionar los registros que contiene.

En este caso quiero delegar el crear y eliminar registros en el DNS de mi dominio.

Lo primero sería instalar la herramientas administrativas al usuario que queremos dar esta gestión, no es necesario darle acceso a un terminal en el servidor. (Paquete de herramientas de administración de Windows Server 2003 Service Pack 2 para las ediciones x86).

Aquí encontrarás la herramienta de gestión de DNS. Al ejecutarlo nos pedirá que Servidor DNS queremos gestionar, con darle uno cualquiera de nuestra zona integrada en el AD tendría bastante.

Si nos sale el siguiente error:

Debemos irnos a un servidor DNS y concederle ciertos permisos.

Con los siguientes permisos podrá dar de alta registros y dar de baja únicamente los registros que este usuario (no grupo) a dado de alta.

Es preferible trabajar con grupos en lugar de usuarios, en general para todo.

Todos los permisos los asignare a nivel de grupo. Otro usuario perteneciente al mismo grupo NO podrá borrar registros que él no hay creado. Aunque pertenezcas el mismo grupo los privilegios del registro DNS se le asignan al usuario.

He creado el registro AA con el dato "pc3" desde una máquina que estaba logeado como "usr1" aunque los permisos de DNS está asignados al grupo "DNS Operadores TMP". Con lo que observamos que se queda el usuario con los permisos especiales.

Si queremos que nuestro usuario operador (en este caso usr1) pueda gestionar TODOS los registros de nuestro dominio, pero tomando las medidas necesarias para evitar que por accidente nos borre algún registro, le podemos dar más responsabilidad. Le concederemos el permiso de eliminar los registros que el no haya creado, pero previamente se tendrá que conceder el mismo permisos sobre los registros.

En el servidor haremos lo siguiente:

Cuando quiera eliminar un registro tendrá que darse permisos:

Luego al intentar eliminarlo verá que no tiene problemas.

Importante: Tanto para las altas de registros como la eliminación hay que poner los mismos permisos en la zona inversa

Pruebas realizadas con servidores Windows 2003 R2 y clientes XP