BAQUIA

El protocolo DNS es la piedra angular de las comunicaciones por Internet

DNS-Security.jpg

Actualmente el comercio y las comunicaciones entre personas y organizaciones usan Internet como soporte fundamental; y a su vez Internet depende de un protocolo denominado DNS (sistema de nombres de dominio). Cada transacción web que iniciamos realiza una consulta DNS para conocer la dirección IP de la máquina donde está alojado el dominio al que se quiere acceder. Si la base de datos de un servidor DNS se manipula de forma fraudulenta, un hacker podría bloquear cualquiera de los servicios que se ofrecen mediante Internet. Aplicaciones web como eCommerce, SaaS, redes sociales e incluso el correo electrónico dependen del DNS.

Aunque las operadoras de internet y los proveedores de servicios invierten en herramientas para mitigar las amenazas, las infraestructuras DNS son vulnerables y están siendo objeto de un incremento de ataques cada vez más sofisticados.

Muchas organizaciones han implantado elaborados sistemas de defensa en profundidad o por capas que combinan software antivirus, firewalls tradicionales, sistemas de información de seguridad y gestión de eventos (SIEM) y otras técnicas para proteger sus infraestructuras de TI. Sin embargo, la mayoría de ellos cuentan con poca o ninguna protección específica de DNS.

Para estar a salvo del creciente aumento de ataques basados en DNS ha aparecido en el mercado de la seguridad una nueva solución a la que han denominado Firewall de DNS. Como veis, estamos asistiendo a una especialización de la tecnología de seguridad para defender la información de las amenazas de Internet. A Los cortafuegos de propósito general que filtran el tráfico de forma global, se les sumaron posteriormente los IPS, los Firewall de Aplicaciones Web para inspeccionar los protocolos http y https; y ahora el Firewall DNS (vigila el puerto 53). Éste  protege los servidores DNS en dos sentidos

  • Desde dentro hacia afuera. Evita la pérdida de información y el robo de datos bloqueando las consultas a servidores DNS infectados y la comunicación con botnets
  • De fuera hacia dentro. Mitiga los ataques de denegación de servicio bloqueando tráfico ilegítimo dirigido al servidor DNS. Realizan un reconocimiento automático de las amenazas, descubren patrones de ataques para discriminar el tráfico legítimo del malicioso

Para una protección a nivel corporativo encontramos en el mercado soluciones de fabricantes como Infoblox y Radware ; que han desarrollado propuestas de seguridad específicas para la protección del servicio de DNS.

Pero no sólo los fabricantes de hardware están trabajando para proteger el servicio DNS, sino que la comunidad de software también lo lleva haciendo desde hace tiempo mejorando el protocolo mediante las extensiones DNSSEC, que facilitan la autenticación de los datos enviados entre el cliente y el servidor DNS.

Y siguiendo en el ámbito del software la iniciativa OpenDNS junto con su herramienta DNSCrypt aportan cifrado del tráfico DNS entre el ordenador del usuario y el servidor DNS.

Tanto para implementaciones con DNSSEC, como con OpenDNS, es necesario que el servidor DNS y el cliente soporten estas herramientas; por lo que es trabajo del departamento de IT configurar las comunicaciones para consultar a servidores DNS públicos que dispongan de esta funcionalidad, y de instalar en los equipos internos el software necesario capaz de realizar las consultas DNS seguras.


Compartir en :


Noticias relacionadas




Comentarios