El Sistema de nombres de dominio (DNS) es una piedra angular de Internet. Los servidores DNS conectan nombres de URL que los humanos pueden leer a direcciones únicas de Protocolo de Internet (IP) que los navegadores web pueden entender. Sin DNS, todos estaríamos escribiendo combinaciones largas y aparentemente aleatorias de caracteres y números para llegar a cualquier lugar en línea. Sin embargo, esta dependencia abre la posibilidad de mal uso. Desde el secuestro de dominios y el envenenamiento de caché hasta los ataques de denegación de servicio, DNS no es ajeno a ser atacado o incluso más aterrador, ¡es un vector de ataque!
No es difícil ver por qué los atacantes usarían DNS como un vector de ataque . Cualquier aplicación que use internet lo usa, aunque la mayoría del tráfico de internet es contenido web. Esto incluye correo electrónico, uso compartido de igual a igual, RDP, SSH, etc. Afortunadamente, este componente crucial de Internet también se puede utilizar a la defensiva. El filtrado de DNS puede evitar que los usuarios descarguen malware sin bloquear también los archivos legítimos por accidente. Exploremos cómo funciona este proceso y por qué es una herramienta útil para los equipos de TI y seguridad.
Métodos para filtrar malware
El malware es una de las principales plagas de la informática moderna y muchos proveedores de seguridad pasan mucho tiempo tratando de evitar que los usuarios accedan a archivos maliciosos en Internet. Una de las formas más fáciles de evitar que los usuarios descarguen malware es simplemente bloquear el acceso a los servidores que alojan archivos maliciosos. Hay compañías cuyo propósito es vender servicios que identifiquen a los actores maliciosos. Esto generalmente se conoce como “Inteligencia de amenazas”. Una vez que sepa qué servidores y sitios son malos, el siguiente paso es evitar que los usuarios se conecten a ellos. Hay varias formas de hacer esto, y cada una tiene ventajas y desventajas.
Sería fácil simplemente bloquear sitios maliciosos basados en la dirección IP, pero esto generalmente no es práctico. Desafortunadamente, las configuraciones modernas de servidor permiten que una sola dirección IP aloje muchos servicios diferentes. Además, muchos nombres de dominio diferentes pueden asignarse a la misma dirección IP, lo que generalmente hace que el bloqueo de sitios incorrectos por dirección IP sea demasiado amplio. En la práctica, esto significa que TI termina bloqueando sitios web y servicios legítimos junto con los maliciosos, lo que frustra a los usuarios y les dificulta realizar su trabajo.
Por otro lado, el filtrado basado en URL completas logra una mayor fidelidad contra archivos individuales servidos por servidores web. Este enfoque evita el problema de bloquear demasiados sitios legítimos, pero requiere mucho trabajo adicional de TI. Dado que las URL son específicas del protocolo de la aplicación, este nivel de protección termina requiriendo una implementación de filtrado única por protocolo de aplicación (HTTP vs FTP). Muchas empresas no tienen los recursos para implementar esto con éxito.
No muy amplio, no muy granular
DNS se encuentra justo en el medio de los dos métodos descritos anteriormente. El filtrado por DNS es más preciso que el filtrado de direcciones IP, pero no requiere tanto trabajo como el filtrado de URL. Por ejemplo, si solo un nombre de dominio de cada cuatro sirve archivos maliciosos que se asignan a una dirección IP individual, el bloqueo por nombre de dominio no interrumpirá los otros tres dominios (mientras que el bloqueo por dirección IP interrumpiría los cuatro dominios). El nivel de precisión que ofrece el filtrado de DNS mantiene a las organizaciones a salvo del malware sin hacer que los departamentos de TI parezcan “pesados” y frustra a los empleados al bloquear innecesariamente sitios y servicios importantes.
DNS también es independiente del protocolo de aplicación, por lo que el bloqueo por nombre de dominio bloqueará las conexiones a enlaces maliciosos sin importar qué aplicación inicie la conexión. En la actualidad, hay muy pocas aplicaciones que no se conectan a Internet, y todas resuelven nombres legibles por humanos en una dirección IP. Por ejemplo, independientemente de si lee su correo electrónico utilizando un cliente pesado como Outlook o si usa una interfaz de usuario web como Gmail, al hacer clic en un enlace malicioso se obtendrá la misma resolución del mismo nombre. Lo mismo vale para los documentos.
Al hacer clic en un enlace malicioso en Acrobat Reader o Microsoft Word, se obtiene la misma resolución del mismo nombre, independientemente del tipo de documento o aplicación. Eso significa que el filtrado a nivel de DNS bloqueará los enlaces maliciosos en todos estos escenarios sin necesidad de personalizarlos para la aplicación o protocolo específico en uso. Con los trabajadores accediendo a datos corporativos desde múltiples dispositivos, revisando el correo electrónico en sus teléfonos y usando aplicaciones que TI ni siquiera conoce, la flexibilidad que brinda el filtrado de DNS es extremadamente útil.
Consideraciones de filtrado de DNS
En seguridad, es importante recordar que ninguna solución es infalible y que el filtrado de DNS no es una excepción. Los servidores que utilizan protocolos de aplicación personalizados en puertos impares para realizar actividades maliciosas, como los ataques de botnet, generalmente requieren el bloqueo de la dirección IP. La actividad maliciosa en protocolos no web como SMTP requiere el bloqueo completo del nombre de dominio.
Por último, el contenido malicioso alojado en una red de intercambio de archivos o entrega de contenido requiere un bloqueo completo de URL porque la mayor parte del contenido en el CDN es legítimo. Ningún nivel de bloqueo de red es infalible tampoco. Como todo profesional de seguridad experimentado sabe, la mejor seguridad es la seguridad por capas. Por lo tanto, las mejores soluciones de bloqueo de red permitirán el filtrado en los tres niveles de red: IP, dominio y URL.
Una de las otras ventajas del filtrado de DNS es que muchas soluciones disponibles en el mercado se integran perfectamente en su infraestructura actual. En lugar de apuntar su servidor DNS interno al servidor DNS ascendente de su ISP, apunte a los servidores DNS desde estas soluciones que brindan protección.
Poniendolo todo junto
DNS es increíblemente importante para todo lo que hacemos en Internet en nuestra vida diaria. El antiguo método de bloqueo por dirección IP es inadecuado, ya que muchos servidores individuales pueden servir muchos servicios diferentes, en su mayoría legítimos. Y a pesar de que hacemos casi todo en nuestro navegador web, el bloqueo por URL puede ser demasiado limitado. El espacio restante puede llenarse bloqueando los nombres de dominio.
Recuerde, debido a nuestra gran dependencia de Internet, el filtrado basado en DNS es esencial para las empresas hoy en día, ya que elimina una vía de ataque que de otro modo no podría cerrar.
