A finales de febrero de 2019, la Corporación de Internet para la Asignación de Nombres y Números (ICANN), la organización que gestiona las direcciones IP y los nombres de dominio utilizados en la web, emitió una advertencia sobre los riesgos de ataques sistémicos de Internet. Esto es lo que necesita saber sobre lo que está en juego.

¿Qué es el DNS?

El Servicio de nombres de dominio (DNS) vincula un nombre de dominio (por ejemplo, el dominio ameli.fr para el seguro médico francés) a una dirección IP (Protocolo de Internet), en este caso "31.15.27.86"). Este es ahora un servicio esencial, ya que facilita la memorización de los identificadores de servicios digitales sin tener sus direcciones. Todavía, como muchos tipos anteriores de protocolo, fue diseñado para ser robusto, pero no seguro.

El DNS define las áreas dentro de las cuales una autoridad tendrá libertad para crear nombres de dominio y comunicarlos externamente. El beneficio de este mecanismo es que la asociación entre la dirección IP y el nombre de dominio se gestiona de cerca. La desventaja es que a veces se requieren varias consultas para resolver un nombre, en otras palabras, asociarlo con una dirección.

Muchas organizaciones que ofrecen servicios de Internet tienen uno o varios nombres de dominio, que están registrados con los proveedores de este servicio de registro. Estos proveedores de servicios están registrados ellos mismos, directa o indirectamente con ICANN, una organización estadounidense encargada de organizar Internet. En Francia, la organización de referencia es la AFNIC, que gestiona el dominio ".fr".

A menudo nos referimos a un nombre de dominio completamente calificado, o FQDN. En realidad, Internet se divide en dominios de nivel superior (TLD). Los dominios estadounidenses iniciales permitieron dividir los dominios por tipo de organización (comercial, Universidad, Gobierno, etc.). Entonces aparecieron rápidamente dominios nacionales como ".fr". Más recientemente, ICANN autorizó el registro de una amplia variedad de dominios de nivel superior. La información relacionada con estos dominios de nivel superior se guarda dentro de un grupo de 13 servidores distribuidos por todo el mundo para garantizar confiabilidad y rapidez en las respuestas.

El protocolo DNS establece la comunicación entre la máquina del usuario y un servidor de nombres de dominio (DNS). Esta comunicación permite consultar este servidor de nombres para resolver un nombre de dominio, en otras palabras, obtener la dirección IP asociada a un nombre de dominio. La comunicación también permite obtener otra información, como encontrar un nombre de dominio asociado con una dirección o encontrar el servidor de mensajería asociado con un nombre de dominio para enviar un mensaje electrónico. Por ejemplo, cuando cargamos una página en nuestro navegador, el navegador realiza una resolución de DNS para encontrar la dirección correcta.

Debido a la naturaleza distribuida de la base de datos, a menudo, el primer servidor contactado no conoce la asociación entre el nombre de dominio y la dirección. A continuación, se pondrá en contacto con otros servidores para obtener una respuesta. a través de un proceso iterativo o recursivo, hasta que haya consultado uno de los 13 servidores raíz. Estos servidores forman el nivel raíz del sistema DNS.

Para evitar una proliferación de consultas, cada servidor DNS almacena localmente las respuestas recibidas que asocian un nombre de dominio y una dirección durante unos segundos. Esta caché permite responder más rápidamente si se realiza la misma solicitud en un breve intervalo.

Protocolo vulnerable

DNS es un protocolo de propósito general, especialmente dentro de las redes empresariales. Por lo tanto, puede permitir que un atacante eluda sus mecanismos de protección para comunicarse con las máquinas comprometidas. Esto podría, por ejemplo, Permitir al atacante controlar las redes de robots (botnets). La respuesta de la defensa se basa en un filtrado más específico de las comunicaciones, por ejemplo, requiriendo el uso sistemático de un relé de DNS controlado por la organización víctima. El análisis de los nombres de dominio contenidos en las consultas DNS, que están asociados con listas blancas o negras, se utiliza para identificar y bloquear consultas anormales.

El protocolo DNS también hace posible los ataques de denegación de servicio. De hecho, cualquiera puede enviar una consulta de DNS a un servicio tomando una dirección IP. El servidor DNS responderá de forma natural a la dirección falsa. La dirección es, de hecho, la víctima del ataque, porque ha recibido tráfico no deseado. El protocolo DNS también permite realizar ataques de amplificación, lo que significa que el volumen de tráfico enviado desde el servidor DNS a la víctima es mucho mayor que el tráfico enviado desde el atacante al servidor DNS. Por tanto, resulta más fácil saturar el enlace de red de la víctima.

El propio servicio DNS también puede convertirse en víctima de un ataque de denegación de servicio, como fue el caso de DynDNS en 2016. Esto provocó fallas en cascada, ya que ciertos servicios dependen de la disponibilidad de DNS para funcionar.

La protección contra ataques de denegación de servicio puede adoptar varias formas. El más utilizado hoy en día es el filtrado del tráfico de red para eliminar el exceso de tráfico. Anycast también es una solución en crecimiento para replicar los servicios atacados si es necesario.

Envenenamiento de caché

Una tercera vulnerabilidad que se utilizó ampliamente en el pasado es atacar el vínculo entre el nombre de dominio y la dirección IP. Esto permite que un atacante robe la dirección de un servidor y atraiga el tráfico por sí mismo. Por lo tanto, puede "clonar" un servicio legítimo y obtener la información confidencial de los usuarios engañados:nombres de usuario, contraseñas información de la tarjeta de crédito, etc. Este proceso es relativamente difícil de detectar.

Como se mencionó, los servidores DNS tienen la capacidad de almacenar las respuestas a las consultas que han emitido durante unos minutos y utilizar esta información para responder a las consultas posteriores directamente. El llamado ataque de envenenamiento de caché permite a un atacante falsificar la asociación dentro de la caché de un servidor legítimo. Por ejemplo, un atacante puede inundar el servidor DNS intermedio con consultas y el servidor aceptará la primera respuesta correspondiente a su solicitud.

Las consecuencias solo duran un rato, las consultas realizadas al servidor comprometido se desvían a una dirección controlada por el atacante. Dado que el protocolo inicial no incluye ningún medio para verificar la asociación de dirección de dominio, los clientes no pueden protegerse contra el ataque.

Esto a menudo da como resultado fragmentos de Internet, con los clientes que se comunican con el servidor DNS comprometido y se desvían a un sitio malicioso, mientras que los clientes que se comunican con otros servidores DNS son enviados al sitio original. Para el sitio original, este ataque es virtualmente imposible de detectar, excepto por una disminución en los flujos de tráfico. Esta disminución en el tráfico puede tener importantes consecuencias financieras para el sistema comprometido.

Certificados de seguridad

El propósito del DNS seguro (extensiones de seguridad del sistema de nombres de dominio, DNSSEC) es para prevenir este tipo de ataque permitiendo que el usuario o servidor intermedio verifique la asociación entre el nombre de dominio y la dirección. Se basa en el uso de certificados, como los que se utilizan para verificar la validez de un sitio web (el pequeño candado que aparece en la barra web del navegador). En teoria, una verificación del certificado es todo lo que se necesita para detectar un ataque.

Sin embargo, esta protección no es perfecta. El proceso de verificación de las asociaciones de "dirección IP de dominio" sigue siendo incompleto. Esto se debe en parte a que varios registros no han implementado la infraestructura necesaria. Aunque el estándar en sí se publicó hace casi quince años, todavía estamos esperando el despliegue de la tecnología y las estructuras necesarias. La aparición de servicios como Let's Encrypt ha ayudado a difundir el uso de certificados, que son necesarios para la navegación segura y la protección de DNS. Sin embargo, el uso de estas tecnologías por parte de los registros y proveedores de servicios sigue siendo desigual; algunos países están más avanzados que otros.

Aunque existen vulnerabilidades residuales (como ataques directos a registros para obtener dominios y certificados válidos), DNSSEC ofrece una solución para el tipo de ataques recientemente denunciados por ICANN. Estos ataques se basan en el fraude de DNS. Ser más preciso, se basan en la falsificación de registros DNS en las bases de datos del registro, lo que significa que estos registros están comprometidos, o son permeables a la inyección de información falsa. Esta modificación de la base de datos de un registro puede ir acompañada de la inyección de un certificado, si el atacante ha planeado esto. Esto hace posible eludir DNSSEC, en el peor de los casos.

Esta modificación de los datos de DNS implica una fluctuación en los datos de asociación de dominio-dirección IP. Esta fluctuación se puede observar y posiblemente desencadenar alertas. Por tanto, es difícil que un atacante pase completamente desapercibido. Pero dado que estas fluctuaciones pueden ocurrir de forma regular, por ejemplo, cuando un cliente cambia de proveedor, el supervisor debe permanecer extremadamente atento para poder hacer el diagnóstico correcto.

Instituciones objetivo

En el caso de los ataques denunciados por ICANN, había dos características significativas. En primer lugar, estuvieron activos durante un período de varios meses, lo que implica que el atacante estratégico estaba decidido y bien equipado. En segundo lugar, se dirigieron eficazmente a sitios institucionales, lo que indica que el atacante tenía una fuerte motivación. Por lo tanto, es importante observar de cerca estos ataques y comprender los mecanismos que implementaron los atacantes para rectificar las vulnerabilidades. probablemente reforzando las buenas prácticas.

La promoción de ICANN del protocolo DNSSEC plantea preguntas. Es evidente que debe generalizarse más. Sin embargo, no hay garantía de que estos ataques hayan sido bloqueados por DNSSEC, ni siquiera que hubieran sido más difíciles de implementar. Se requerirá un análisis adicional para actualizar el estado de la amenaza a la seguridad para el protocolo y la base de datos DNS.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.