DNS, acrónimo de Domain Name System, es un componente crucial en
el funcionamiento de Internet y sin duda de gran importancia en el
correcto flujo de comunicaciones en red. Gracias a DNS, se facilita el
manejo de las comunicaciones entre los elementos de internet dotados de
dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica
una “base de datos” donde se asocian nombres a direcciones IP y a la
inversa de forma que sea mucho más sencillo de recordar y manejar por
las personas.
Esta misión de DNS, en apariencia básica, conlleva una importante
responsabilidad al constituir una base en las comunicaciones IP, por
ello es de vital importancia mantener el sistema preparado para prevenir
y contrarrestar las amenazas existentes contra este servicio. DNS por
su extensión y diseño, está expuesto a numerosas amenazas, cuyos
paradigmas fundamentales son, entre otros, denegaciones de servicio DoS
por ataques de amplificación DNS
, secuestro de dominios para redireccionar tráfico a sitios maliciosos,
o envenenamiento de caché DNS de servidores para provocar resoluciones
manipuladas de los dominios atacados.
Con esta idea en mente, INTECO publica una guía orientada a usuarios
técnicos para ofrecer un documento de referencia del protocolo DNS,
incluyendo los aspectos relacionados con la seguridad del servicio ,
describiendo las líneas base para su implementación y bastionado.
En esta guía se puede encontrar, además de una visión completa de los
elementos que integran el servicio y el entorno DNS, una descripción
detallada de la base funcional del protocolo y sus componentes de
seguridad. Concretamente, en el ámbito de la seguridad, se ofrece una
explicación de las vulnerabilidades y principales amenazas que afectan
al protocolo y se aportan indicaciones para su mitigación y/o mitigación
tanto a nivel genérico, como específicamente para el software BIND9 de Internet System Consortium, el más extendido y utilizado en servidores DNS.
En la guía se incluyen las siguientes secciones:
- Fundamentos de DNS: donde se explican los conceptos, objetivos y funcionamiento de un sistema DNS.
- Seguridad en DNS: a partir en un escenario típico DNS se identifican los posibles vectores de ataque y los activos afectados
- Vulnerabilidades y amenazas en DNS: incluyendo
las debilidades intrínsecas al diseño del protocolo DNS y los
principales ataques que sacan partido de la las mismas.
- Bastionado DNS: detalle de las medidas de
seguridad a implementar en los tres grandes superficies de ataque del
servicio DNS: Infraestructura del servicio DNS, Comunicaciones y
transacciones y Datos.
- DNSSEC: introducción, uso y funcionamiento.
La guía está disponible en el siguiente enlace: Guia de seguridad en servicios DNS
09/04/2014, por
Antonio López (INTECO)
