8m read

Problemas comunes de seguridad en DNS

¿Qué encontrarás aquí?

Cato Networks, reconocido como Líder en el Gartner® Magic Quadrant™ 2024 para SASE de proveedor único

Descargar el informe

El Sistema de Nombres de Dominio (DNS) es un componente crítico de Internet. Su función es convertir los nombres de dominio en las direcciones IP utilizadas para dirigir el tráfico de red hacia el destino previsto. El papel vital del DNS y la falta de seguridad incorporada por defecto lo convierten en un objetivo común para los ciberdelincuentes. Los atacantes pueden dirigirse al DNS con ataques de denegación de servicio (DoS) para hacer que los sitios sean inalcanzables o explotar las brechas de seguridad del DNS para avanzar en sus propios objetivos.

Comprendiendo el DNS y sus Desafíos de Seguridad

Las direcciones IP que las computadoras utilizan para identificarse entre sí son difíciles de recordar, por lo que existen los nombres de dominio. La función del DNS es convertir entre un nombre de dominio memorable, como catonetworks.com, y una dirección IP, como 45.60.110.90.

El DNS es uno de los protocolos fundamentales de Internet, desarrollado antes de que la seguridad fuera una preocupación urgente. Por esta razón, las consultas y respuestas de DNS carecen de cifrado y autenticación por defecto. El importante papel del DNS y la falta de cifrado y autenticación lo convierten en un objetivo principal para los atacantes. Dado que toda Internet utiliza y confía en el DNS, un ataque que lo explote puede tener repercusiones significativas.

Amenazas Comunes de Seguridad en DNS

Los ataques al DNS son una amenaza común de seguridad en la red debido a su papel vital y a su débil seguridad. Algunas de las amenazas de seguridad más comunes asociadas con el DNS incluyen las siguientes:

Envenenamiento de Caché de DNS

Los resolutores de DNS comúnmente almacenan en caché los registros de DNS de acceso frecuente, mejorando la velocidad y reduciendo la carga en los servidores de DNS. En un ataque de envenenamiento de caché de DNS, el atacante aprovecha la falta de cifrado y autenticación del DNS para inyectar entradas de DNS falsas en la caché de un resolutor. Como resultado, los usuarios que solicitan estos registros de DNS recibirán una dirección IP especificada por el atacante, redirigiéndolos a un sitio malicioso.

Suplantación de DNS

El spoofing de DNS es una categoría amplia de ataques de DNS que incluye la contaminación de caché de DNS. En un ataque de spoofing de DNS, el atacante se hace pasar por un servidor DNS y cambia los registros DNS con la intención de redirigir el tráfico.

DNS Hijacking

El secuestro de DNS es una clase general de ataques que implica redirigir a los usuarios a un sitio malicioso al cambiar la forma en que se resuelven las consultas DNS. El spoofing y la contaminación de caché son tipos específicos de ataques de secuestro, pero un atacante también puede manipular las resoluciones de DNS a través de malware, enrutadores comprometidos y otros medios.

Ataques de Amplificación de DNS

Los ataques de amplificación de DNS son un tipo de ataque DoS que aprovecha los resolvedores DNS abiertos y el hecho de que las respuestas DNS son (a menudo significativamente) más grandes que la consulta asociada. En un ataque de amplificación de DNS, el atacante envía una consulta DNS a un resolvedor abierto con la dirección IP de origen configurada en la del objetivo. Esto provoca que el resolvedor envíe la respuesta al objetivo previsto, quien recibe muchos más datos de los que el atacante envió. Con muchos resolvedores abiertos y registros DNS con respuestas mucho más grandes que las solicitudes, un atacante puede lanzar un ataque DoS a gran escala utilizando solo una fracción del ancho de banda del sistema objetivo.

Registros DNS Colgantes

Los registros DNS colgantes existen cuando una organización ha registrado un dominio con un servidor DNS y luego descontinúa ese recurso. Un atacante puede ser capaz de apoderarse de la dirección IP asociada o del nombre de dominio completamente calificado (FQDN), potencialmente reclamándolo con un proveedor de nube después de que el objetivo lo libere. Si es así, el tráfico al subdominio listado en la entrada DNS será redirigido al sitio del atacante.

Sombreado de Dominio

El sombreado de dominio creará subdominios maliciosos bajo un dominio raíz legítimo que ha sido comprometido por un atacante. Al hacerlo, el atacante crea un subdominio difícil de detectar que aprovecha la reputación del dominio raíz legítimo. Este subdominio puede ser utilizado en ataques de phishing o como infraestructura de comando y control (C2) de malware con un riesgo reducido de detección o de ser bloqueado por una organización.

Ataques NXDOMAIN (Ataques de Dominio Fantasma)

Los ataques NXDOMAIN son un tipo de ataque DoS diseñado para eludir la caché y abrumar a un servidor DNS. El atacante realiza una serie de solicitudes para subdominios inexistentes, que no existirán en la caché de un resolvedor. Como resultado, el ataque se enviará al servidor de origen para su resolución, consumiendo recursos y degradando la capacidad del servidor para responder a solicitudes legítimas.

Resolutores DNS maliciosos

Los resolutores DNS desempeñan un papel crítico en la recepción de consultas DNS de los usuarios, realizando consultas de seguimiento a los servidores DNS y devolviendo un resultado. Un resolutor DNS malicioso puede monitorear las solicitudes DNS de un usuario y proporcionar información incorrecta que envía a los usuarios a páginas de phishing. Los usuarios pueden ser enviados a un resolutor DNS malicioso a través de envenenamiento DHCP o malware.

Rebinding DNS

En un ataque de rebinding DNS, un servidor DNS controlado por un atacante responderá inicialmente a una solicitud DNS con la dirección IP de un sitio que sirve código malicioso, pero especificará un valor de tiempo de vida (TTL) muy corto. Cuando expire el TTL, el navegador del usuario realizará otra solicitud, a la que el servidor DNS malicioso responderá con la dirección IP de un recurso interno. Como resultado, el dominio puede ser considerado parte de la red interna, permitiendo que el código malicioso eluda la política de mismo origen (SOP) y acceda a recursos internos.

Typosquatting y ataques de homógrafos

Los ataques de typosquatting y homógrafos implican la creación de dominios maliciosos que se asemejan estrechamente a los legítimos. Si un usuario escribe incorrectamente una URL o hace clic en un enlace en un correo electrónico de phishing, será dirigido a un sitio web controlado por un atacante. A menudo, esto se utiliza para la recolección de credenciales si el usuario ingresa sus credenciales en el sitio de phishing.

Mejores prácticas para la seguridad DNS

Algunas mejores prácticas de seguridad de red para protegerse contra amenazas comunes de DNS incluyen:

  • Implementar DNSSEC: Las extensiones de seguridad DNS (DNSSEC) implementan autenticación para consultas DNS. Habilitarlo en el(los) dominio(s) de una organización ayuda a prevenir que sean utilizados en ataques DNS.
  • Monitorear el tráfico DNS: Muchos ataques DNS implican consultas y respuestas DNS inusuales. Monitorear el tráfico DNS en busca de anomalías puede ayudar a detectar posibles ataques.
  • Registrar solicitudes DNS: Las solicitudes DNS proporcionan un registro de los sitios visitados y los dominios contactados por una computadora. Registrar esto puede ser invaluable para la investigación forense de un ataque de phishing, infección por malware u otro incidente de seguridad.
  • Utilizar servicios DNS de confianza: Las organizaciones pueden seleccionar el proveedor de DNS utilizado para resolver sus solicitudes. Elegir un servidor DNS conocido reduce el riesgo potencial de redirección maliciosa o espionaje.

Integrando la seguridad DNS en un marco SASE

Un Marco de Servicio de Acceso Seguro (SASE) integra diversas características de seguridad y redes en una única solución. Utilizar una plataforma SASE que ofrezca DNS como Servicio (DaaS) puede ayudar a proteger a una organización contra diversas amenazas. Con DNS integrado en la plataforma SASE de la organización, la empresa está protegida contra servidores DNS maliciosos y puede realizar filtrado DNS para identificar y bloquear el tráfico hacia dominios maliciosos conocidos.

Preguntas frecuentes sobre problemas comunes de seguridad DNS

¿Qué es la contaminación de caché DNS?

La contaminación de caché DNS introduce entradas DNS maliciosas en la caché de un resolvedor DNS. Como resultado, los usuarios que solicitan ese dominio serán redirigidos a un sitio controlado por un atacante para la recolección de credenciales o distribución de malware.

¿Cómo representa el túnel DNS un riesgo de seguridad?

El túnel DNS permite a un atacante ocultar sus comunicaciones dentro de consultas y respuestas DNS. Esto aumenta la dificultad para que una organización identifique la exfiltración de datos o los mensajes de comando y control (C2) de malware.

¿Qué son los registros DNS colgantes?

Los registros DNS colgantes existen cuando una organización ha desmantelado un activo en la nube pero no el registro DNS asociado. Un atacante que reclama la dirección IP o el nombre de dominio completamente calificado (FQDN) asociado con este registro puede redirigir todo el tráfico destinado a ese subdominio a un sitio malicioso.

¿Cómo puede la integración de la seguridad DNS en un marco SASE beneficiar a las organizaciones?

Integrar DNS en un marco SASE protege contra servidores DNS maliciosos y proporciona visibilidad sobre el tráfico DNS. Como resultado, una organización puede bloquear más fácilmente el tráfico hacia dominios conocidos como dañinos y hacer cumplir las políticas de seguridad corporativa.

Por qué la seguridad DNS necesita ser parte de su estrategia SASE

DNS es una parte vital de Internet, pero no fue diseñado para ser seguro. Como resultado, los atacantes explotan DNS de diversas maneras para avanzar en sus campañas de ataque. Incorporar DNS en una arquitectura SASE permite a una organización implementar una fuerte seguridad DNS y hacer cumplir políticas como parte de una arquitectura de seguridad holística y convergente. Esto mejora la visibilidad de la seguridad, simplifica la aplicación de políticas y mejora la detección y respuesta ante amenazas.

Vea cómo Cato Networks ofrece protección contra amenazas a nivel DNS como parte de una estrategia SASE completa. Reserve una demostración hoy para explorar la visibilidad unificada de DNS, la aplicación de políticas y la prevención de amenazas.

Cato Networks, reconocido como Líder en el Gartner® Magic Quadrant™ 2024 para SASE de proveedor único

Descargar el informe

This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.