Guía de seguridad DNS

Haga lo que haga la empresa, la seguridad DNS debería ser una parte integral de su plan de seguridad. Los servicios de nombres, que resuelven nombres de host en direcciones IP, son utilizados por prácticamente todas las aplicaciones y servicios de la red.

Si un atacante obtiene el control del DNS de una organización, fácilmente puede:

• Date control sobre los recursos compartidos.
• Redirigir los correos electrónicos entrantes, así como las solicitudes web y los intentos de autenticación.
• crear y validar certificados SSL/TLS

Esta guía analiza la seguridad DNS desde dos ángulos:

1. Realizar monitoreo y control continuo sobre DNS
2. Cómo los nuevos protocolos DNS, como DNSSEC, DOH y DoT, pueden ayudar a proteger la integridad y la confidencialidad de las solicitudes DNS transmitidas

¿Qué es la seguridad DNS?

El concepto de seguridad DNS incluye dos componentes importantes:

1. Garantizar la integridad general y la disponibilidad de los servicios DNS que resuelven nombres de host en direcciones IP
2. Supervise la actividad de DNS para identificar posibles problemas de seguridad en cualquier lugar de su red

¿Por qué el DNS es vulnerable a los ataques?

La tecnología DNS se creó en los primeros días de Internet, mucho antes de que alguien comenzara a pensar en la seguridad de la red. DNS funciona sin autenticación ni cifrado, procesando ciegamente las solicitudes de cualquier usuario.

Debido a esto, existen muchas formas de engañar al usuario y falsificar información sobre dónde se lleva a cabo realmente la resolución de nombres a direcciones IP.

Seguridad DNS: problemas y componentes

La seguridad DNS consta de varios elementos básicos componentes, cada uno de los cuales debe tenerse en cuenta para garantizar una protección completa:

• Fortalecimiento de los procedimientos de gestión y seguridad de los servidores: aumentar el nivel de seguridad del servidor y crear una plantilla de puesta en servicio estándar
• Mejoras del protocolo: implementar DNSSEC, DoT o DoH
• Análisis e informes: agregue un registro de eventos DNS a su sistema SIEM para obtener contexto adicional al investigar incidentes
• Ciberinteligencia y detección de amenazas: suscribirse a una fuente activa de inteligencia sobre amenazas
• Automatización: crear tantos scripts como sea posible para automatizar procesos

Los componentes de alto nivel mencionados anteriormente son sólo la punta del iceberg de la seguridad del DNS. En la siguiente sección, profundizaremos en casos de uso más específicos y mejores prácticas que necesita conocer.

Ataques DNS

• Suplantación de DNS o envenenamiento de caché: explotar una vulnerabilidad del sistema para manipular la caché DNS y redirigir a los usuarios a otra ubicación
• Túnel DNS: Se utiliza principalmente para evitar las protecciones de conexión remota.
• Secuestro de DNS: redirigir el tráfico DNS normal a un servidor DNS de destino diferente cambiando el registrador de dominio
• Ataque NXDOMAIN: realizar un ataque DDoS en un servidor DNS autorizado enviando consultas de dominio ilegítimas para obtener una respuesta forzada
• dominio fantasma: hace que el solucionador de DNS espere una respuesta de dominios inexistentes, lo que resulta en un rendimiento deficiente
• ataque a un subdominio aleatorio: Los hosts y botnets comprometidos lanzan un ataque DDoS en un dominio válido, pero centran su fuego en subdominios falsos para obligar al servidor DNS a buscar registros y tomar el control del servicio.
• bloqueo de dominio: está enviando múltiples respuestas de spam para bloquear los recursos del servidor DNS
• Ataque de botnet desde el equipo del suscriptor: un conjunto de computadoras, módems, enrutadores y otros dispositivos que concentran la potencia informática en un sitio web específico para sobrecargarlo con solicitudes de tráfico.

Ataques DNS

Ataques que de alguna manera utilizan el DNS para atacar otros sistemas (es decir, cambiar los registros DNS no es el objetivo final):

• Flujo rápido
• Redes de flujo único
• Redes de doble flujo
• Túnel DNS

Ataques DNS

Ataques que dan como resultado que la dirección IP que necesita el atacante sea devuelta desde el servidor DNS:

• Suplantación de DNS o envenenamiento de caché
• Secuestro de DNS

¿Qué es DNSSEC?

DNSSEC (Motores de seguridad del servicio de nombres de dominio) se utilizan para validar registros DNS sin necesidad de conocer información general para cada solicitud de DNS específica.

DNSSEC utiliza claves de firma digital (PKI) para verificar si los resultados de una consulta de nombre de dominio provienen de una fuente válida.
La implementación de DNSSEC no sólo es una de las mejores prácticas de la industria, sino que también es eficaz para evitar la mayoría de los ataques de DNS.

Cómo funciona DNSSEC

DNSSEC funciona de manera similar a TLS/HTTPS, utilizando pares de claves públicas y privadas para firmar digitalmente registros DNS. Descripción general del proceso:

1. Los registros DNS están firmados con un par de claves privada-privada
2. Las respuestas a las consultas DNSSEC contienen el registro solicitado, así como la firma y la clave pública.
3. Entonces Llave pública Se utiliza para comparar la autenticidad de un registro y una firma.

Seguridad DNS y DNSSEC

DNSSEC es una herramienta para comprobar la integridad de las consultas DNS. No afecta la privacidad del DNS. En otras palabras, DNSSEC puede brindarle la confianza de que la respuesta a su consulta de DNS no ha sido manipulada, pero cualquier atacante puede ver esos resultados tal como se los envió.

DoT: DNS sobre TLS

Transport Layer Security (TLS) es un protocolo criptográfico para proteger la información transmitida a través de una conexión de red. Una vez que se establece una conexión TLS segura entre el cliente y el servidor, los datos transmitidos se cifran y ningún intermediario puede verlos.

TLS Se utiliza más comúnmente como parte de HTTPS (SSL) en su navegador web porque las solicitudes se envían a servidores HTTP seguros.

DNS-over-TLS (DNS over TLS, DoT) utiliza el protocolo TLS para cifrar el tráfico UDP de las solicitudes DNS habituales.
Cifrar estas solicitudes en texto sin formato ayuda a proteger a los usuarios o aplicaciones que realizan solicitudes de varios ataques.

• MitM, o "hombre en el medio": Sin cifrado, el sistema intermedio entre el cliente y el servidor DNS autorizado podría enviar información falsa o peligrosa al cliente en respuesta a una solicitud.
• Espionaje y seguimiento: Sin solicitudes de cifrado, es fácil para los sistemas de middleware ver a qué sitios está accediendo un usuario o aplicación en particular. Aunque el DNS por sí solo no revelará la página específica que se visita en un sitio web, simplemente conocer los dominios solicitados es suficiente para crear un perfil de un sistema o de un individuo.

Fuente: Universidad de California, Irvine

DoH: DNS sobre HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) es un protocolo experimental promovido conjuntamente por Mozilla y Google. Sus objetivos son similares al protocolo DoT: mejorar la privacidad de las personas en línea cifrando las solicitudes y respuestas de DNS.

Las consultas DNS estándar se envían a través de UDP. Las solicitudes y respuestas se pueden rastrear utilizando herramientas como Wireshark. DoT cifra estas solicitudes, pero aún así se identifican como tráfico UDP bastante distinto en la red.

DoH adopta un enfoque diferente y envía solicitudes de resolución de nombres de host cifradas a través de conexiones HTTPS, que se parecen a cualquier otra solicitud web a través de la red.

Esta diferencia tiene implicaciones muy importantes tanto para los administradores de sistemas como para el futuro de la resolución de nombres.

1. El filtrado DNS es una forma común de filtrar el tráfico web para proteger a los usuarios de ataques de phishing, sitios que distribuyen malware u otras actividades de Internet potencialmente dañinas en una red corporativa. El protocolo DoH pasa por alto estos filtros, lo que potencialmente expone a los usuarios y a la red a un mayor riesgo.
2. En el modelo de resolución de nombres actual, cada dispositivo de la red recibe más o menos consultas DNS desde la misma ubicación (un servidor DNS específico). DoH, y en particular su implementación en Firefox, muestra que esto puede cambiar en el futuro. Cada aplicación en una computadora puede recibir datos de diferentes fuentes DNS, lo que hace que la resolución de problemas, la seguridad y el modelado de riesgos sean mucho más complejos.

Fuente: www.varonis.com/blog/what-is-powershell

¿Cuál es la diferencia entre DNS sobre TLS y DNS sobre HTTPS?

Comencemos con DNS sobre TLS (DoT). El punto principal aquí es que el protocolo DNS original no se cambia, sino que simplemente se transmite de forma segura a través de un canal seguro. DoH, por otro lado, coloca el DNS en formato HTTP antes de realizar solicitudes.

Alertas de monitoreo de DNS

La capacidad de monitorear eficazmente el tráfico DNS en su red en busca de anomalías sospechosas es fundamental para la detección temprana de una infracción. El uso de una herramienta como Varonis Edge le permitirá estar al tanto de todas las métricas importantes y crear perfiles para cada cuenta de su red. Puede configurar alertas para que se generen como resultado de una combinación de acciones que ocurren durante un período de tiempo específico.

Monitorear los cambios de DNS, las ubicaciones de las cuentas, el uso por primera vez y el acceso a datos confidenciales y la actividad fuera del horario laboral son solo algunas de las métricas que pueden correlacionarse para crear una imagen de detección más amplia.

Fuente: habr.com