Tabla de contenido:
En abril, un hacker holandés fue arrestado por lo que se llama el mayor ataque de denegación de servicio distribuido jamás visto. El ataque fue perpetrado contra Spamhaus, una organización antispam, y según ENISA, la agencia de seguridad informática de la Unión Europea, la carga en la infraestructura de Spamhaus alcanzó los 300 gigabits por segundo, tres veces el récord anterior. También causó una gran congestión en Internet y atascó la infraestructura de Internet en todo el mundo.
Por supuesto, los ataques de DNS no son raros. Pero aunque el pirata informático en el caso de Spamhaus solo pretendía dañar a su objetivo, las ramificaciones más grandes del ataque también señalaron lo que muchos llaman una falla importante en la infraestructura de Internet: el Sistema de nombres de dominio. Como resultado, los recientes ataques a la infraestructura central de DNS han dejado tanto a técnicos como a empresarios buscando soluciones. ¿Y qué me dices de ti? Es importante saber qué opciones tiene para reforzar la infraestructura DNS de su propio negocio, así como también cómo funcionan los servidores raíz DNS. Así que echemos un vistazo a algunos de los problemas y lo que las empresas pueden hacer para protegerse. (Obtenga más información sobre DNS en DNS: un protocolo para gobernarlos a todos).
Infraestructura existente
El Sistema de nombres de dominio (DNS) es de una época que Internet ha olvidado. Pero eso no lo convierte en una vieja noticia. Con la amenaza siempre cambiante de los ataques cibernéticos, el DNS ha sido objeto de un gran escrutinio a lo largo de los años. En su infancia, DNS no ofrecía formas de autenticación para verificar la identidad de un remitente o receptor de consultas DNS.
De hecho, durante muchos años, los servidores de nombres centrales, o servidores raíz, han sido objeto de ataques extensos y variados. En la actualidad, son geográficamente diversos y están operados por diferentes tipos de instituciones, incluidos organismos gubernamentales, entidades comerciales y universidades, para mantener su integridad.
Es alarmante que algunos ataques hayan tenido algo de éxito en el pasado. Un ataque paralizante en la infraestructura del servidor raíz, por ejemplo, ocurrió en 2002 (lea un informe al respecto aquí). Aunque no creó un impacto notable para la mayoría de los usuarios de Internet, sí atrajo la atención del FBI y del Departamento de Seguridad Nacional de los EE. UU. Porque era muy profesional y muy específico, afectando a nueve de los 13 servidores raíz operativos. Según los expertos, si hubiera persistido durante más de una hora, los resultados podrían haber sido catastróficos, haciendo que los elementos de la infraestructura DNS de Internet fueran casi inútiles.
Derrotar a una parte tan integral de la infraestructura de Internet le daría a un atacante exitoso una gran cantidad de poder. Como resultado, se ha aplicado un tiempo y una inversión considerables al problema de asegurar la infraestructura del servidor raíz. (Puede consultar un mapa que muestra los servidores raíz y sus servicios aquí).
Asegurar DNS
Además de la infraestructura central, es igualmente importante tener en cuenta la solidez de la infraestructura DNS de su propio negocio contra ataques y fallas. Es común, por ejemplo (y se afirma en algunos RFC) que los servidores de nombres deben residir en subredes o redes completamente diferentes. En otras palabras, si el ISP A tiene una interrupción total y su servidor de nombres primario se desconecta, entonces el ISP B seguirá sirviendo sus datos DNS clave a cualquiera que lo solicite.
Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una de las formas más populares en que las empresas pueden proteger su propia infraestructura de servidor de nombres. Estos son un complemento para garantizar que la máquina que se conecta a sus servidores de nombres es lo que dice que es. DNSSEC también permite la autenticación para identificar de dónde provienen las solicitudes, así como verificar que los datos en sí no se hayan cambiado en el camino. Sin embargo, debido a la naturaleza pública del Sistema de nombres de dominio, la criptografía utilizada no garantiza la confidencialidad de los datos, ni tiene ningún concepto de su disponibilidad en caso de que partes de la infraestructura sufran un fallo de alguna descripción.
Se utilizan varios registros de configuración para proporcionar estos mecanismos, incluidos los tipos de registro RRSIG, DNSKEY, DS y NSEC. (Para obtener más información, consulte 12 Registros DNS explicados).
RRISG se usa siempre que DNSSEC esté disponible tanto para la máquina que envía la consulta como para la que la envía. Este registro se envía junto con el tipo de registro solicitado.
Una DNSKEY que contiene información firmada podría verse así:
ripe.net tiene un registro DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
El registro DS, o firmante delegado, se utiliza para ayudar a autenticar la cadena de confianza para que una zona principal y una secundaria puedan comunicarse con un mayor grado de comodidad.
NSEC, o las siguientes entradas seguras, esencialmente saltan a la siguiente entrada válida en una lista de entradas DNS. Es un método que se puede utilizar para devolver una entrada DNS inexistente. Esto es importante para que solo las entradas DNS configuradas sean confiables como genuinas.
NSEC3, un mecanismo de seguridad mejorado para ayudar a mitigar los ataques estilo diccionario, fue ratificado en marzo de 2008 en RFC 5155.
Recepción DNSSEC
Aunque muchos defensores han invertido en desplegar DNSSEC, no está exento de críticas. A pesar de su capacidad para ayudar a evitar ataques como los ataques de hombre en el medio, donde las consultas pueden ser secuestradas y alimentadas incorrectamente a voluntad de quienes generan consultas DNS, existen supuestos problemas de compatibilidad con ciertas partes de la infraestructura de Internet existente. El problema principal es que el DNS generalmente usa el Protocolo de datagramas de usuario (UDP) que consume menos ancho de banda, mientras que DNSSEC usa el Protocolo de control de transmisión (TCP) más pesado para pasar sus datos de un lado a otro para una mayor confiabilidad y responsabilidad. Grandes partes de la antigua infraestructura de DNS, que están salpicadas de millones de solicitudes de DNS las 24 horas del día, los siete días de la semana, pueden no ser capaces de aumentar el tráfico. Aun así, muchos creen que DNSSEC es un paso importante hacia la seguridad de la infraestructura de Internet.
Si bien nada en la vida está garantizado, tomarse un tiempo para considerar sus propios riesgos podría evitar muchos dolores de cabeza costosos en el futuro. Al implementar DNSSEC, por ejemplo, puede aumentar su confianza en partes de su infraestructura DNS clave.