¿Qué es la seguridad DNS?

Cuando la mayoría de las personas usan Internet, usan nombres de dominio para especificar el sitio web que desean visitar, por ejemplo checkpoint.com. Estos nombres de dominio son direcciones fáciles de usar que el Sistema de nombres de dominio (DNS) asigna a direcciones de Protocolo de Internet (IP) que las computadoras y otros componentes de la infraestructura de red utilizan para identificar diferentes dispositivos conectados a Internet. En resumen, el Sistema de Nombres de Dominio es el protocolo que hace que Internet sea utilizable al permitir el uso de nombres de dominio.

Las organizaciones confían ampliamente en DNS y, por lo general, se permite que el tráfico DNS pase libremente a través firewall de la red. Sin embargo, es comúnmente atacado y abusado por los ciberdelincuentes. Como resultado, la seguridad del DNS es un componente crítico de la seguridad de la red.

 

Solicite una demostración Más información

¿Qué es la seguridad DNS?

Cómo se utiliza el DNS en los ataques

Algunas amenazas incluyen ataques contra la infraestructura DNS:

  • Denegación de servicio distribuido (DDoS): la infraestructura DNS es esencial para el funcionamiento de Internet. Los ataques DDoS contra DNS pueden hacer que los sitios web sean inaccesibles al hacer que los servidores DNS que los atienden no estén disponibles al saturar el rojo con lo que parece tráfico legítimo. Un ejemplo clásico de esto es el ataque DDoS de 2016 contra Dyn, donde un ejército de bots alojados en cámaras conectadas a Internet causó interrupciones en muchos sitios web importantes, incluidos Amazon, Netflix, Spotify y Twitter.
  • Amplificación DDoS de DNS: DNS utiliza UDP, un protocolo sin conexión, para el transporte lo que significa que un atacante puede suplantación de la dirección de origen de una solicitud DNS y recibir la respuesta enviada a una dirección IP de su elección. Además, las respuestas DNS pueden ser mucho más grandes que las solicitudes correspondientes. Los atacantes DDoS aprovechan estos factores para amplificar sus ataques enviando una pequeña solicitud a un servidor DNS y teniendo una respuesta masiva transmitida de vuelta al objetivo. Esto da como resultado un DoS del host de destino.
  • Otros ataques de denegación de servicio (DoS): además de los ataques DDoS basados en la red, la aplicación que se ejecuta en servidores DNS también puede ser objetivo de ataques DoS. Estos ataques están diseñados para explotar la vulnerabilidad en la aplicación del servidor DNS, impidiéndoles responder a solicitudes legítimas.

El DNS también puede ser abusado y utilizado en ataques cibernéticos. Los ejemplos del abuso de DNS incluyen:

  • Secuestro de DNS: El secuestro de DNS se refiere a cualquier ataque que engaña a un usuario para que piense que se está conectando a un dominio legítimo mientras que en realidad está conectado a un dominio malicioso. Esto se puede lograr usando un servidor DNS comprometido o malicioso o mediante el uso de un servidor DNS para que almacene datos DNS incorrectos (un ataque llamado envenenamiento de caché).
  • Túnel DNS: como DNS es un protocolo confiable, la mayoría de las organizaciones le permiten entrar y salir libremente de su red. Los ciberdelincuentes aprovechan el DNS para la filtración de datos con malware cuyas solicitudes de DNS contienen los datos que se están exfiltrando. Dado que el servidor DNS de destino suele estar controlado por el propietario del sitio web de destino, los atacantes se aseguran de que los datos lleguen a un servidor donde puedan procesarlos y que se envíe una respuesta en el paquete de respuesta DNS.
  • Evasión de seguridad mediante nombres de dominio aleatorios (DGA): los actores de amenazas utilizan algoritmos sofisticados para generar cientos de miles de nuevos nombres de dominio utilizando un algoritmo de generación de dominio (DGA). El malware instalado en una computadora infectada utilizará estos nuevos nombres de dominio para evadir la detección y conectarse al servidor de comando y control externo del hacker. Las soluciones de seguridad tradicionales no son lo suficientemente rápidas como para determinar si estos dominios son maliciosos o no, por lo que simplemente dejan pasar de manera predeterminada.

La importancia de la seguridad del DNS

DNS es un protocolo antiguo, y fue construido sin ninguna seguridad integrada. Se han desarrollado varias soluciones para ayudar a proteger el DNS, incluyendo:

  • Filtrado de reputación: como cualquier otro usuario de Internet, la mayoría del malware necesita realizar solicitudes de DNS para encontrar las direcciones IP de los sitios que visita. Las organizaciones pueden bloquear o redirigir las solicitudes de DNS a dominios maliciosos conocidos.
  • Inspección de DNS: el uso de DNS para la exfiltración de datos a través de túneles DNS o la evasión de seguridad mediante algoritmos de generación de dominio también puede detectarse y bloquearse en tiempo real mediante un Firewall de última generación (NGFW) que aprovecha la inteligencia sobre amenazas impulsada por motores de aprendizaje profundo de IA. Esto ayuda a bloquear incluso el malware sofisticado que utiliza DNS para comunicaciones de comando y control (C2) de malware y otros ataques.
  • Asegure el Protocolo: DNSSEC es un protocolo que incluye autenticación para respuestas DNS. Dado que la respuesta autenticada no puede ser suplantada ni modificada, los atacantes no pueden usar DNS para enviar usuarios a sitios maliciosos.
  • Asegure el canal: DNS sobre TLS (DoT) y DoH (DNS sobre HTTPS) agrega una capa segura a un protocolo inseguro. Esto asegura que las solicitudes estén encriptadas y autenticadas, a diferencia del DNS tradicional. Al usar DoH y DoT, un usuario puede garantizar la privacidad de las respuestas DNS y bloquear la escucha de sus solicitudes de DNS (lo que revela los sitios que está visitando).

Analytics, inteligencia sobre amenazas y Threat Hunting

El monitoreo de su tráfico DNS puede ser una rica fuente de datos para sus equipos del Centro de Operaciones de Seguridad (SOC), ya que monitorean y analizan la postura de seguridad de su empresa. Además de monitorear firewall para detectar indicadores de compromiso (IoC) de DNS, los equipos de SOC también pueden estar atentos a dominios similares.

Prevención del uso malintencionado del protocolo DNS

Check Point Quantum Firewall de última generación detecta tráfico malicioso y ataques de tunelización DNS a través de ThreatCloud IA, su sistema global de inteligencia sobre amenazas. ThreatCloud IA analiza las solicitudes de DNS y envía un veredicto al firewall para descartar o permitir la solicitud de DNS en tiempo real. Esto evita el robo de datos a través de la tunelización DNS y las comunicaciones de comando y control entre un host infectado interno y un servidor C2 externo.

We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.