DNS un viejo (servicio) inseguro

El servicio de resolución de nombre, conocido como DNS (Domain Name Server), es uno de los servicios que nació con el surgimiento del Internet y que permite que muchos de los otros servicios funcionen de forma simple, a través de nombres y no de direcciones IP. Sin embargo, es también uno de los principales dolores de cabeza en cuanto a seguridad, debido a que su concepción nunca tuvo en cuenta la seguridad y al ser un cimiento de Internet es muy complejo realizar acciones o modificaciones sin afectar todo el funcionamiento de las redes.

Pero esto no debe ser una limitante para realizar acciones que permitan mitigar los constantes ataques que usan al DNS como plataforma, como puede ser el DNS Hijacking (una de las posibilidades de evilFOCA), DNS Poisoning, amplificación de DNS para DDoS, entre otros. 

La EITF en los más de 20 años de creación de este protocolo no le ha realizado muchas modificaciones de fondo, sino más bien parches para que se acomode a las necesidades actuales y se mantenga como un cimiento fundamental. Aunque se han realizado varias propuestas que mejoran su seguridad y privacidad, pero que no terminan de ser usadas o desplegadas por la mayoría de los actores en Internet, soluciones como el DoH (DNS over HTTPS) que tiene su propio RFC desde el 2016 pero que su implementación no ha llegado a masificarse como se esperaba por el apoyo de los navegadores.

Otra solución propuesta es DANE (DNS-Based Authentication of Named Entities), el cual también tiene RFC desde 2012, cuya propuesta de mejora en la seguridad se basa en la autenticación de las entidades certificadoras de TLS a través del DNSSEC, garantizando la no suplantaciónde las entidades certificadoras y así mejorando, no solo la seguridad de DNS sino la de cualquier servicio que use TLS. Sin embargo, al igual que la anterior su despliegue no ha sido masivo y son pocas las configuraciones empresariales que lo usan, aunque con un cambio en las últimas versiones de Windows Server esto puede cambiar.

Con este panorama global, es fundamental que las medidas de mitigación y control sobre el DNS se tomen directamente en las organizaciones, para evitar que ataques como el sucedido en octubre de 2016 pongan en jaque la seguridad de Internet. Algunas de las medidas que se deben tener en cuenta al momento de realizar un aseguramiento de los servidores de DNS, son las siguientes:

1. Habilitar el bloque de cache en el DNS, conocido como DNS cache looking es muy importante para evitar la sobre escritura de los registros que se tiene en el cache, minimizando una suplantación por envenenamiento del cache del servidor o cambios inesperados en la resolución.

2. Habilitar el DNSSEC, entregando las respuestas de las solicitudes de un dominio junto a un certificado digital que asegura que la zona esta siendo respondida por su creador original. Desplegar este servicio de forna masiva llevara a un Internet más seguro y confiable.

3. Implementar DoH, este servicio puede ser habilitado en los navegadores y ayuda a garantizar que la resolución del nombre del sitio web no sea modificada, para esto se pueden usar plugins como el de DoH para Firefox.

4. Controlar peticiones usando políticas, permitiendo optimizar las resoluciones y las cargas en los servidores DNS, pero además asegurando que la respuesta que se da es acorde a la red y a la zona que se esta requiriendo.

5. Limitar respuestas, para evitar ataques de inundación usando reflexión de DNS, es fundamental que los servidores no contesten un numero ilimitado de veces hacia una misma dirección la misma respuesta, sino que se limite este flujo de datos. Con este control no podría ser usado el servidor para ataque de DDoS como el mencionado anteriormente.

Estas cinco configuraciones sencillas permitirán que el viejo DNS siga siendo un cimiento fundamental de Internet, pero con un nivel de seguridad acorde con las necesidades del momento.

La entrada DNS un viejo (servicio) inseguro aparece primero en Globb Security.