A menudo, la vulnerabilidad real, cuando se trata de seguridad y estabilidad de DNS, es la ignorancia. Aquí hay cinco amenazas de DNS contra las que debe protegerse.
El Sistema de nombres de dominio (DNS) es generalizado. Colectivamente, lo usamos miles de millones de veces al día, a menudo sin siquiera saber que existe. Para las empresas, es su identidad digital, así como un componente crítico de su arquitectura de seguridad. Sin embargo, como toda tecnología, es susceptible a amenazas. Con demasiada frecuencia, la naturaleza omnipresente y omnipresente del DNS se presta a ser ignorada. Hoy, veamos cinco amenazas comunes que aprovechan el DNS, junto con las mejores prácticas sugeridas y las estrategias de mitigación de riesgos.
1. Typosquatting
- ¿Las redes de circuitos virtuales necesitan la capacidad de enrutar paquetes aislados desde una fuente arbitraria a un destino arbitrario?
- Cómo interceptar a todos los clientes en la red doméstica para monitorear el tráfico ascendente, por ejemplo, a través de MITM
- ¿Es posible escuchar en un puerto específico usando sockets sin formato?
- ¿Cuándo deberíamos usar capas completamente conectadas y cuándo usar la conexión parcial en capas ocultas de la red convolucional?
- ¿Cómo se usan los prefijos IP y por qué son tan útiles?
La práctica de registrar un nombre de dominio que es confusamente similar a una marca popular existente (typosquatting) a menudo se considera un problema para los abogados de marcas registradas. Sin embargo, como lo ha demostrado una investigación reciente, puede presentar un riesgo profundo para la confidencialidad de los secretos corporativos y debe considerarse cada vez más como un problema de seguridad. Typosquatting no se trata solo de individuos que registran de manera oportunista dominios confusamente similares con la esperanza de beneficiarse del tráfico web mal dirigido; También se puede utilizar para robar información.
Recuerde monitorear los nombres de dominio recién registrados para los nombres que son confusamente similares a su marca. La información sobre los nuevos registros de dominio a menudo está disponible gratuitamente en los registros, y hay muchas compañías que ofrecen servicios dedicados de gestión de marca digital para simplificar este proceso de búsqueda.
2. DDoS
Los ataques distribuidos de denegación de servicio (DDoS) no son una amenaza específica para DNS. Sin embargo, el DNS es particularmente vulnerable a tales ataques porque representa un punto de estrangulamiento lógico en la red, que a menudo se pasa por alto cuando las organizaciones planifican la capacidad de su infraestructura. No importa cuán sobreaprovisionado sea un sitio web, si la infraestructura de DNS no puede manejar la cantidad de solicitudes entrantes que recibe, el rendimiento del sitio se degradará o deshabilitará.
Para reducir el riesgo de ser víctima de un ataque DDoS contra sus nombres de dominio, considere contratar a un proveedor de DNS administrado que use una red ampliamente distribuida y altamente redundante de servidores Anycast para manejar el tráfico DNS. (Divulgación: mi empleador, Afilias, proporciona servicios DNS administrados). El uso de Anycast para reflejar sus servidores DNS puede mejorar en gran medida el rendimiento y equilibrar la carga durante un ataque DDoS. Si prefiere crear su propio servicio DNS administrado, asegúrese de aprovechar el poder de Anycast.
3. Ataques de amplificación de DNS
La amplificación de DNS es una táctica utilizada en ataques DDoS que aprovecha los servidores DNS implementados en configuraciones inseguras “recursivas”. La recursión es una característica del DNS que permite transferir la resolución de nombres de dominio a servidores de nombres más robustos. En sí mismo, es una característica útil y necesaria comúnmente implementada dentro de un entorno empresarial. Pero los delincuentes descubrieron hace varios años que los servidores DNS recursivos “abiertos”, es decir, un servidor de nombres recursivo para el que el acceso no está controlado ni restringido, podrían explotarse para aumentar la fuerza de sus ataques DDoS.
Al suplantar la dirección de origen en las consultas de DNS para que coincida con la de la víctima prevista, los atacantes descubrieron que cada paquete espurio enviado desde uno de sus bots podría amplificarse si se enviaba a un servidor de nombres recursivo. La respuesta enviada a la víctima sería muchas docenas de veces mayor que la consulta original. Esto podría provocar que una botnet maneje muchas veces la potencia de fuego, causando un rendimiento mucho más gravemente degradado en el sitio de la víctima. Hoy en día, ejecutar un servidor DNS recursivo que está abierto a todo Internet ya no se considera una práctica de seguridad aceptable. Afortunadamente, la protección de sus servidores DNS contra este tipo de ataque generalmente se logra con un simple cambio de configuración.
4. Secuestro de registradores
La mayoría de los nombres de dominio se registran a través de una empresa de registro, y estos representan puntos únicos de falla. Si un atacante puede comprometer su cuenta con el registrador elegido, obtiene el control sobre su nombre de dominio, lo que le permite señalarlo a los servidores de su elección, incluidos los servidores de nombres, servidores web, servidores de correo electrónico, etc. Peor aún, el dominio podría ser transferido a un nuevo propietario o un registrador “offshore”, lo que hace que la recuperación de nombres de dominio sea un asunto complejo.
Dichos ataques pueden dirigirse al registrador de manera general, como fue el caso en el reciente ataque contra el registrador británico NetNames, que reclamó a varias víctimas de alto perfil. Otros pueden apuntar específicamente a su cuenta, ya sea a través de un ataque a su contraseña o, más comúnmente, un ataque de ingeniería social contra los agentes de soporte técnico del registrador.
Para reducir el riesgo de secuestro, elija un registrador que ofrezca precauciones de seguridad adicionales, como la autenticación multifactor o los administradores de cuentas con los que puede construir una relación personal. Muchos registradores ofrecerán servicios premium a clientes de alto valor que pueden mitigar sustancialmente el riesgo de perder el control de su cuenta ante un secuestrador. Estos tienen un costo, pero es un pequeño precio a pagar para garantizar que su nombre de dominio permanezca bajo su control.
5. Envenenamiento de caché
Cada vez que envía un correo electrónico o visita un sitio web, es probable que su computadora esté utilizando datos DNS que se han almacenado en caché en algún lugar de la red, como con su ISP. Esto mejora el rendimiento de Internet y reduce la carga en los diversos registros que proporcionan respuestas DNS autorizadas. Sin embargo, estos cachés a veces pueden ser vulnerables a los ataques de “envenenamiento”.
Los atacantes a veces explotan vulnerabilidades o malas opciones de configuración en servidores DNS, o en casos como el infame Kaminsky Bug, vulnerabilidades en el protocolo DNS en sí, para inyectar información de direccionamiento fraudulenta en cachés. Los usuarios que acceden al caché para visitar el sitio objetivo se encontrarían en su lugar en un servidor controlado por el atacante. Si el sitio del atacante fuera una réplica cercana del sitio oficial del objetivo, no habría forma de que el usuario supiera que estaba siendo robado. Por lo que su navegador sabría, sería en el sitio oficial.
Además de implementar servidores de nombres en configuraciones seguras, la solución a este problema es un protocolo conocido como DNSSEC, que se está implementando en los registros y registradores de todo el mundo en la actualidad. Una vez que la adopción de DNSSEC se vuelva universal, agregar una firma digital DNSSEC a un nombre de dominio significará que los navegadores e ISP podrán validar que la información DNS que reciben es auténtica, lo que hace que la mayoría de los ataques de envenenamiento de caché sean obsoletos. Las organizaciones preocupadas por la integridad de sus nombres de dominio deben solicitar a sus registradores que admitan DNSSEC hoy.
Existen soluciones para estos ataques basados en DNS. Algunas soluciones son simples, mientras que otras son más complejas. Pero a menudo la verdadera vulnerabilidad, cuando se trata de la seguridad y la estabilidad del DNS, es la ignorancia.
